Bezpieczeństwo Cyberbezpieczeństwo Szpiegostwo

Szósta kolumna czyli zagrożenia cyberbezpieczeństwa

16 lutego 2016

Szósta kolumna czyli zagrożenia cyberbezpieczeństwa

„Stanęliśmy oko w oko z nieprzyjacielem i okazało się, że jesteśmy nim my sami” – Walt Kelly

Określenie „piąta kolumna” pochodzi z czasów hiszpańskiej wojny domowej i oznacza dywersantów, sabotażystów, prowokatorów, szpiegów i wrogów wewnętrznych.

Postęp techniczny sprawił, że obecnie armia w coraz większym stopniu posługuje się zautomatyzowanymi systemami dowodzenia, rozpoznania i kierowania ogniem. Działanie każdego z nich jest zdefiniowane za pomocą oprogramowania opracowanego przez producenta. Złożoność tego oprogramowania ułatwia ukrycie w nim funkcjonalności sprzecznej z interesami użytkownika. Posiadany przez nas sprzęt może nas szpiegować, sabotować nasze zamiary, a nawet prowadzić działalność dywersyjną. Ze względu na wagę i realność tego zagrożenia zasadne jest nadanie mu miana „szóstej kolumny” – kolumny, która może niepostrzeżenie przenikać do naszych sił zbrojnych w ramach programu ich modernizacji.

Szpieg w pojeździe

Szpiegowanie za pomocą sprzętu można bardzo łatwo zrealizować pod pozorem obsługi serwisowej. Na przykład dzisiejszy stan techniki pozwala urządzeniom nawigacyjnym zapamiętywać wszystkie zmiany położenia pojazdu przez cały okres jego eksploatacji. Firmowi serwisanci mogą bez problemu, niezauważalnie dla użytkownika odczytywać te dane i przekazywać je swoim zleceniodawcom. Podobnie jest z radiostacjami i terminalami komputerowymi. Co prawda zapamiętanie wszystkich przesyłanych i przetwarzanych informacji wymagałoby zbyt dużej pojemności wbudowanego, skrytego rejestratora, jednak nie ma przeszkód, żeby zapisywać treści dokumentów tekstowych, sekwencje wciskanych przez operatora klawiszy, częstotliwości wykorzystywanych kanałów radiowych i wprowadzane klucze szyfrujące.

Zdrajca na biurku

Kilka lat temu wyszła na jaw zdradziecka funkcjonalność zwykłych biurowych drukarek kolorowych, z których wszyscy na co dzień korzystamy. Otóż na każdej kartce papieru drukują one niewidzialną w zwykłym świetle mozaikę żółtych kropek, które pozwalają bezbłędnie zidentyfikować pochodzenie wydruku.

Sabotażysta w powietrzu

W styczniu 2015 roku na trawnik przed Białym Domem spadł chiński dron DJI Phantom. Okazało się, że nie było to terrorystyczne zagrożenie bezpieczeństwa Stanów Zjednoczonych, ale wybryk pewnego urzędnika państwowego, który „w stanie wskazującym na spożycie” testował wiropłat.

W tej historii najbardziej interesująca okazała się reakcja producenta urządzenia, który zobowiązał się do niezwłocznego zaprogramowania dodatkowego obszaru wyłączonego z lotów: rejonu obejmującego stolicę USA. Zwróćmy uwagę na to sformułowanie: DODATKOWEGO obszaru! Wiadomo, że ze względów bezpieczeństwa dron ten odmawia lotu w okolicach lotnisk, ale nie wiadomo, gdzie jeszcze staje się niezdatny do użytku. Czy można nim latać nad chińskimi ambasadami? Albo bazami chińskiej armii? A rosyjskiej? A polskiej? A może jest wyposażony w dodatkowy odbiornik sygnału, po którego otrzymaniu całkowicie przestaje reagować na polecenia operatora?

O ile w przypadku urządzeń cywilnych takie ograniczenia funkcjonalności są kwestią prawną i niezadowolony użytkownik może dochodzić sprawiedliwości w sądzie, o tyle błędne działanie sprzętu wojskowego zagraża bezpieczeństwu państwa i życiu żołnierzy!

Ważne pytania

Skąd polskie siły zbrojne mogą się dowiedzieć, jaki „diabeł” kryje się w pozyskiwanym skomputeryzowanym wyposażeniu, jeśli nie mają dostępu do kodów źródłowych? A jeśli nawet mają, to nie dysponują możliwością ich weryfikacji? Generał Krzysztof Bondaryk potwierdził ten fakt w artykule opublikowanym w listopadzie 2015 roku w miesięczniku Raport WTO:

„Siły Zbrojne powinny nabywać kompetencje w zakresie właściwej polityki i architektury bezpieczeństwa, posługiwania się odpowiednim oprogramowaniem i narzędziami. Muszą również nabyć zdolności do kompilacji, trwałej identyfikacji, modyfikacji oraz łamania kodów źródłowych.” – gen. bryg. rez. Krzysztof Bondaryk, twórca Narodowego Centrum Kryptografii

Teraz tych kompetencji brak. Nikt nie sprawdza kompletności i aktualności dostarczanych przez producentów kodów źródłowych oprogramowania, nie mówiąc już o analizie ich funkcjonalności.

Nie ma więc żadnej gwarancji, że dron w pewnym momencie się nie „zbuntuje” i nie odmówi wykonania misji zwiadowczej w określonym rejonie. Nie dlatego, że uległ uszkodzeniu, ale w wyniku realizacji ukrytych intencji twórcy. W ten sam sposób urządzenie nawigacyjne może zacząć przekłamywać pozycję pojazdu, radiostacja tracić łączność, a komputer się zawieszać.

Wydawać by się mogło, że problem ten dotyczy tylko sprzętu importowanego, ale zauważmy, że (1) sprzęt krajowy zawiera preprogramowane podzespoły różnego pochodzenia oraz (2) bezpieczeństwo jest bezcenne, a działania w tej dziedzinie długofalowe, więc nie można wykluczyć wprowadzenia niepożądanej funkcjonalności przez nielojalnego pracownika naszych zakładów. Niestabilność polityki zakupowej Ministerstwa Obrony Narodowej podwyższa ryzyko zajścia takiego zdarzenia ze względu na fluktuację kadr w firmach zbrojeniowych.

Cyberatak: a co z naszą szóstą kolumną?

Oprócz kwestii zapewnienia bezpieczeństwa i niezawodności urządzeń eksploatowanych przez polską armię istnieje jeszcze jeden istotny aspekt związany z zagadnieniem „szóstej kolumny”: czy eksportowane przez nasz kraj uzbrojenie jest w nią wyposażone? W sytuacji, kiedy technicznie możliwe jest zablokowanie użycia naszego sprzętu przeciwko nam, należałoby pomyśleć o zasugerowaniu tego typu rozwiązań polskim producentom. Nigdy nie wiadomo, czy obecny dobry partner handlowy nie stanie się kiedyś naszym wrogiem. Niefortunna byłaby sytuacja, gdyby polski dron został wykorzystany do szpiegowania polskich placówek dyplomatycznych lub baz wojskowych. Niewybaczalny byłby atak na te obiekty przeprowadzony wyprodukowanym w Polsce sprzętem.

Popularyzator wiedzy o zasadach skutecznego działania. Autor przewodnika „Teraz! Jak już dziś zmienić jutro?” Współzałożyciel WB Electronics SA