Ako ne možemo vjerovati antivirusu Kaspersky, trebamo li vjerovati Microsoftu?
U proteklih deset godina postalo je jasno da je internet – i softver koji ga napaja i softver koji pomoću interneta radi – meta za napadače. U proteklih pet godina postalo je jasno da niko ovu poruku nije tako dobro razumio kao globalna obavještajna zajednica. Slučaj Edwarda Snowdena razotkrio je velika nastojanja obavještajnog saveza Five Eyes u ovom pogledu, od prećutnih dogovora sa internetskim gigantima do zabavnih nastojanja da se pribavi što više, kao što je slučaj skidanja slika sa videorazgovora putem Yahooa.
U odgovoru na ova otkrića, grupa nas je predvidjela jezivu fragmentaciju interneta, kako je sve veći broj ljudi postajao svjestan svoje ovisnosti o jednoj državi za sve softverske i digitalne usluge. Dva incidenta u protekla dva mjeseca ponovo su nas podsjetila na ove ideje: kompjuterski crv NotPetya i optužbe protiv ruskog antivirusnog diva Kaspersky Laba.
Da sumiramo priču o NotPetyi: obični računovodstveni paket nazvan MeDoc, čija je upotreba rasprostranjena (u Ukrajini), zloupotrijebljen je da zarazi žrtve. Kompjuterskih crva i virusa ima mali milion, ali NotPetya se izdvojio zbog nekoliko stvari. Za početak, iskoristio je izmijenjeni vektor zaraze iz procurjele informacije od američke NSA. Čini se da je meta bila Ukrajina, i utjecaj ovog kompjuterskog crva imao je opipljive posljedice u stvarnom svijetu (pomorska kompanija Maersk prijavila je gubitak do 200 miliona dolara zbog NotPetye).
Kada je NotPetya u pitanju, najzanimljiviji nam je vektor zaraze. Nakon što su kompromitovali široko rasprostranjene otvorene servere MeDoca, napadači su izradili zaraženi update za računovodstveni paket. Hiljade klijenata su potom automatski skinule i počele primjenjivati ovaj update. Automatsko ažuriranje sada je uobičajeno i smatra se dobrom sigurnosnom higijenom, pa je situacija u kojoj sam update postane vektor napada neobičan preokret.
‘Zli update’
Saga Kaspersky imala je dalekosežan utjecaj u pogledu “zlog updatea“”. Iako mnogi u američkoj obavještajnoj zajednici odavno s prezirom gledaju na ovu rusku kompaniju koja proizvodi antiviruse i koja je postala popularna u SAD-u, Kaspersky je poslovao dovoljno dobro i dobio značajan udio na tržištu. Ovo je dostiglo usijanje u septembru tekuće godine kada je američko Ministarstvo domovinske sigurnosti (DHS) izdalo naredbu da sva američka ministarstva uklone softver Kaspersky sa svojih računara. Potom se pojavila još intrigantnija priča.
Prema različitim izvorima, uposlenik američke NSA,A koji je radio na alatima za eksploataciju i napad ponio je posao kući, gdje je njegov PC (na kojem je bio instaliran softver Kaspersky) nastavio proždirati njegove „označene“ dokumente.
Kao i sve što se tiče informatičke sigurnosti, ovo je pokrenulo pravu dramu koja uključuje izraelski, ruski i američki cyber prostor i koja skreće pažnju sa glavne priče. Oni koji brane kompaniju Kaspersky nazvali su ove tvrdnje apsurdnim, a njihovi protivnici tvrde da je dosluh ove kompanije sa ruskom obavještajnom službom očigledan, a neki uplašeni glasovi ostali su suzdržani čekajući još dokaza. Ovaj dio drame ćemo sasvim zanemariti.
Nas, međutim, zanima mogućnost da se update može zloupotrijebiti za ostvarivanje državnih interesa. Tvrdnja SAD-a da su ruske obavještajne službe distribuirale ažurirane verzije softvera selektivno samo nekim korisnicima, pretvorivši svoj softver u veliki, distribuirani špijunski alat, sasvim je održiva sa tehničkog stanovišta. Kaspersky je odgovorio objavivši plan za poboljšanu transparentnost koja im možda hoće, a možda i neće popraviti imidž u javnosti.
Ali, time se zanemaruje očigledna činjenica da je, kao i sa svakim softverom koji radi na tom nivou, „nemaliciozni“ sistem samo jedan update udaljen od tog da postane „maliciozan“. Protivnici Kasperskog brže bolje ističu da sve i ako je Kaspersky do sada bio nevin, već sutra bi mogao postati maliciozan (uzimajući u obzir pritisak od ruske obavještajne službe GRU) i da sva razuvjeravanja koja kompanija nudi zavise od tog da li su oni „dobri“ umjesto da postoji tehnička kontrola.
Mi, koji smo relativno izvan ovog rata, u ovoj priči vidimo oštru ironiju. Isti (uglavnom američki) glasovi koji ishitreno plasiraju ideju da ruski GRU zapovijeda ruskim kompanijama, tvrdi da američke kompanije nikada ne bi podlegle pritiscima američke obavještajne zajednice, jer bi to, ako bi se saznalo, ugrozilo njihovu poziciju na tržištu. Ne postoji tehnička kontrola koja je različita u ova dva slučaja; oni koji staju na stranu američkih kompanija klade se da će američke obavještajne agencije postupiti „ispravno“, ne samo danas već i u budućnosti. To prirodno za sobom povlači važno pitanje: da li važe ista pravila ako je SAD zvanično (ili nezvanično) u ratu s drugom državom?
Za vrijeme Drugog svjetskog rata, Njemačka je nacionalizirala britansku imovinu u Njemačkoj, a to je uradila i Velika Britanija. To ima smisla i vjerovatno će se isto dešavati i u budućim sukobima. Ali računari i internet ovo su promijenili. U fiktivnom ratu između SAD-a i Njemačke, Nijemci bi mogli zauzeti svaki Microsoftov kampus u državi, ali to ne bi zaštitilo njihove računare koji koriste Windows od jednog zaraženog updatea lansiranog iz sjedišta ove kompanije u Redmondu, u saveznoj državi Washington.
Što više o ovome razmišljate, to strašnije postaje. Jedan maliciozni update koji Microsoft izbaci mogao bi onesposobiti gotovo bilo koju vladu širom svijeta. Šta bi moglo spriječiti takav scenarij? To bez sumnje ne mogu tehničke kontrole (osim ako ne izgradite nacionalni operativni sistem, kao što je to uradila Sjeverna Koreja).
Ova situacija je bez presedana. Da mali broj prodavača ima kapacitet da daljinskim upravljanjem isključi vladinu infrastrukturu, ili usisa tajne dokumente, gotovo je isuviše strašna da o njoj razmišljate. I to bez razmišljanja o tome kolika je vjerovatnoća da ih njihova vlada ubijedi da sarađuju. U slučaju rata u budućnosti, hoće li prvi korak biti isključivanje automatskog ažuriranja za softver iz te države?
Sigurnost interneta
To je loše za sve nas. Internet je zdraviji kada svako automatski skida update. Kada ekosistemi odlažu nadogradnje, svi smo na gubitku. Kada se instaliranje nadogradnji sporo i neadekvatno provodi maliciozni botnet programi poput Miraia napadnu nedužne korisnike interneta ogromnim količinama podataka. I sama ta mogućnost nas deprimira. Južna Koreja posjeduje oko 30 posto telefonskog tržišta u SAD-u (i nabavlja komponente za gotovo sve njih). Kineske kompanije grade hardver i dopremaju osnovni program u uređajima na koje računamo svakodnevno. Sviđalo nam se to ili ne, svi ovisimo o dobrom ponašanju ovih država kao međunarodnih državljana, ali ne raspolažemo sa velikim manevarskim prostorom u pogledu nagrade ili kazne da podstaknemo “dobro ponašanje”.
Male države su u još lošijoj poziciji. Između Kine i SAD-a postoji određena ravnoteža po pitanju sposobnosti za tehnološko uništenje, ali šta kada ste vi Južna Afrika? Vi konja za tu trku nemate. Plaćate milione i milione dolara stranim korporacijama i nadate se da to nikada neće iskoristiti protiv vas. Južna Afrika nema pregovaračku poziciju da bi mogla potaknuti dobro ponašanje, nema je ni Argentina ili Španija, ali zajedno, možda imamo šanse.
Može se urediti sporazum između svih država učesnica, prema kojem se svaka država obavezuje da neće koristiti svoj utjecaj nad lokalnom softverskom kompanijom da negativno utječe na druge države potpisnice sporazuma. Države koje bi prekršile ovaj princip rizikovale bi štetne posljedice od svih država članica preko softvera koji proizvode. Na taj način bi svaka obavještajna agencija koja bi željela zloupotrijebiti svoj utjecaj nad softverom neke domaće kompanije rizikovala da sve države članice blokiraju sav softver te države. Na ovaj način se kreira zajednički mehanizam zbog kojeg su svi sigurniji.
Jasno je da ovo nije nikakvo čudesno rješenje. Obavještajna agencija i dalje može provaliti u softverske kompanije da bi pristupila njihovom softveru, i vjerovatno i hoće. Ali to ne bi mogli raditi uz saradnju te kompanije. Države će imati centralnog arbitra (kakav je Međunarodni sud prave) koji će se baviti slučajevima koji će odlučiti da li su obavještajne mahinacije rađene sa ili bez pristanka softverske kompanije, i kao i Ženevska konvencija, i dalje će biti važeći tokom sukoba ili rata.
Softverske kompanije su se obogatile prodajući svoje proizvode širom svijeta. Softveri (i internet) postali su veliki zajednički resursi o kojima ovise sve države svijeta. Sve i ako one same ne proizvode dovoljno globalno distribuiranog softvera koji bi im osigurao mjesto za stolom, sve države zaslužuju utjehu koju daje saznanje da softver koji kupe neće biti upotrijebljen protiv njih. Slučaj protiv kompanije Kaspersky jasno pokazuje da SAD ovo shvata kao realnu opasnost i da poduzima korake kako bi se zaštitio. Globalni sporazum štiti i nas ostale.
Stavovi izraženi u ovom tekstu autorovi su i ne odražavaju nužno uredničku politiku Al Jazeere.
Izvor: Al Jazeera