Dzisiaj po południu Lot stał się przedmiotem ataku teleinformatycznego na naziemne systemy IT. W związku z tym nie możemy przygotowywać planów lotu, a więc samoloty nie mogą wylecieć z Warszawy” – informował w ubiegłą niedzielę przewoźnik. Bez planu lotu samolot, choć sprawny i gotowy do startu, nie może wzbić się w powietrze. Załadowanie wersji cyfrowej dokumentu na pokładowy komputer było niemożliwe, bo serwer został zablokowany. Odblokowanie go trwało wiele godzin. 10 rejsów odwołano, wiele było opóźnionych. Straty pójdą zapewne w miliony złotych, ucierpiała też reputacja linii. To pierwszy tego typu przypadek w historii PLL Lot.

Co się stało? Z informacji przewoźnika wynika, że padł ofiarą ataku typu DDoS, czyli rozproszonej odmowy usługi (Distributed Denial of Service). Polega to na zablokowaniu systemu komputerowego przez jednoczesną próbę połączenia się z nim przez setki, a czasem tysiące komputerów. System, nie mogąc podołać ruchowi przekraczającemu jego możliwości, pada.

Takie ataki przeprowadzają armie komputerów-zombie, zwane też botnetami. Urządzenia te stoją w domach ludzi, którzy o niczym nie wiedzą. Po prostu kiedyś dostali dziwnego maila z załącznikiem kuszącym ofertą finansową albo obietnicą pikantnego zdjęcia (w Polsce ostatnio krążą takie maile kuszące ...kelnerskimi nagraniami). Kliknęli w załącznik, zorientowali się, że to spam i szybko go skasowali. W komputerze zagnieździł się jednak wirus (tzw. trojan), który zamienił poczciwego laptopa w zombie. Teraz hakerzy mają nad nim władzę. Na ich wezwanie, we wskazanym momencie i bez wiedzy właściciela, domowe komputery, członkowie botnetu, będą łączyły się ze wskazanymi serwerami, uczestnicząc w atakach DDoS.

– Ataki DDoS to najpopularniejsza metoda działania hakerów. Przekonało się już o tym bardzo wiele polskich firm – wyjaśnia Patryk Gęborys, menedżer z Zespołu Cyber Security PwC. Czemu jednak takie ataki służą? Powody bywają różne. Atak może na przykład zlecić konkurencyjna firma, aby popsuć rywalowi reputację i wpędzić go w koszty. Zdarzają się też ataki hakerskich aktywistów (jak np. grupa Anonymous), którzy realizując swoje cele polityczno-ideowe, paraliżują instytucje publiczne. Czasem są to działania służb obcych państw prowadzone w ramach cyfrowych zmagań. Służą one szukaniu słabych punktów w infrastrukturze krytycznej innego państwa. Być może z takim przypadkiem mieliśmy do czynienia na Okęciu (choć pojawiła się teoria, że może po prostu nawalili informatycy Lot).

Oferta nie do odrzucenia

Nie można jednak wykluczyć najprostszego scenariusza. Ataki DDoS to zwykle element wymuszenia haraczu. Firma dostaje ostrzeżenie z ofertą: zapłać, bo inaczej cię zaatakujemy. Jeśli nie chce płacić, pada ofiarą cyberprzestępców. Firmy do tego rzadko się przyznają, nie zgłaszają policji ani prokuraturze. Wiele po prostu płaci.

Cyberprzestępczość to względnie nowe zjawisko, trudne do zwalczenia. – Jeśli haker jest fachowcem, zidentyfikowanie go i namierzenie jest bardzo trudne. A schwytanie i pociągnięcie do odpowiedzialności jeszcze trudniejsze – wyjaśnia Patryk Gęborys. Niełatwo jest złapać zawodowca działającego w zorganizowanej grupie, dysponującej pieniędzmi i technicznymi możliwościami. Eksperci sceptycznie podchodzą do wizerunku hakera jako samotnego geniusza, komputerowego geeka, który rozgryza zabezpieczenia systemów. Jeśli tacy się zdarzają, to raczej amatorzy. Zresztą nie trzeba być geniuszem, żeby się włamywać; w sieci można dziś kupić informatyczne wytrychy. Na słabo zabezpieczone systemy wystarczą.

Czasami jednak hakerzy popełniają błędy i wtedy można ich dopaść. Jak dwóch szefów pewnej szczecińskiej firmy komputerowej, którzy po godzinach dorabiali sobie cyberwymuszeniami. Działalność była dochodowa, bo w sieci chwalili się supersamochodami, luksusowymi zakupami i wizytami na Lazurowym Wybrzeżu.

I wtedy upatrzyli sobie kolejny cel – brytyjskie kasyno internetowe. Postawili właścicielowi propozycję nie do odrzucenia: albo przekaże im 50 proc. udziałów w firmie (30 mln funtów rocznego obrotu), albo oni go zniszczą za pomocą ataków DDoS. Brytyjczyk był jednak oporny, więc doczekał się pierwszego ataku. Wtedy Polacy ponowili propozycję rozmów. Ku ich radości doszło do nich w Londynie, gdzie mogli się pochwalić swymi sukcesami i złożyć kolejną ofertę. Można to dziś obejrzeć na stronach brytyjskiej policji, która wszystko nagrała ukrytą kamerą, a potem szantażystów aresztowała. Polacy odsiadują w więzieniu ponad 5-letnie wyroki.

Haker na Torze

Rzadko udaje się śledzić kulisy działania hakerów. Dlatego dość szczególnym wydarzeniem było niedawne cyberwłamanie do Plus Banku. Włamywacz o nicku Razor pokonał zabezpieczenia i wykradł z banku dane wielu klientów, informacje o dokonywanych przez nich transakcjach itd. W tym – co ciekawe – nawet dane właściciela banku Zygmunta Solorza-Żaka i jego syna Tobiasa. Następnie wysłał żądanie okupu. Bank nie chciał jednak negocjować, co zainteresowanego zbiło z tropu. Wtedy zwrócił się do internetowego portalu Niebezpiecznik.pl z prośbą o pośrednictwo w negocjacjach. Namawiał do udziału w przestępstwie, więc portal odmówił.

Sam zainteresowany czuł się bezpieczny, bo korzystał z sieci Tor, narzędzia zapewniającego anonimowość, powszechnie wykorzystywanego przez hakerów. Przekazał próbkę posiadanego materiału, który rzeczywiście wyglądał na poufne dane bankowe. Uważał, że stawia uczciwą propozycję: bank zapłaci mu 400 tys. zł za wysiłek w przetestowaniu zabezpieczeń, a on nie ujawni wyjętych z wirtualnego sejfu poufnych danych. Bank nie będzie miał kłopotów z instytucjami kontrolnymi (KNF, GIODO itd.) i nie ucierpi jego reputacja. W końcu nikt nie dokonał jeszcze cyberwłamania do polskiego banku, a przynajmniej nic o tym nie wiadomo. Inaczej – zagroził – będzie publikował w sieci zebrane dane.

Bank dalej odmawiał, więc groźba została spełniona. Dopiero wtedy Plus Bank oficjalnie przyznał, że doszło do włamania, zapewniając, że system został uszczelniony, a nikt z klientów nie stracił pieniędzy. Zrobił się szum, co przestępcę znów zaskoczyło. Spróbował więc założyć biały kapelusz.

Hakerami w białych kapeluszach albo etycznymi nazywa się tych, którzy włamują się, niczego nie kradnąc ani nie niszcząc. Chcą tylko pokazać luki w systemie bezpieczeństwa. Niektórzy pracują oficjalnie przy sprawdzaniu systemów komputerowych. Polacy należą do elity białych hakerów – zespół Dragon Sector zdobył niedawno pierwsze miejsce w międzynarodowych zawodach Capture the Flag. Razor w białym kapeluszu zaproponował, by Plus Bank okupem wspomógł dom dziecka. Znów bez efektu. Przestępcy szuka więc policja. Jak doszło do włamania, na razie nie wiadomo.

Target na celu

– Najsłabszym ogniwem każdego informatycznego systemu są ludzie – wyjaśnia Patryk Gęborys. – Hakerzy wykorzystują rutynę, lenistwo, gapiostwo pracowników. Ktoś odruchowo kliknie w zawirusowany załącznik, ktoś ujawni login, skorzysta z banalnego hasła i haker ma ułatwione zadanie. Spore ryzyko pojawia się w przypadku współpracy z firmami zewnętrznymi – kooperantami, poddostawcami, klientami – które otrzymują dostęp, nawet ograniczony, do systemu informatycznego. Przykładem gigantyczne włamanie do amerykańskiej sieci sklepów Target, w trakcie którego skradziono dane 40 mln kart kredytowych! Okazało się, że przestępcom nogę do sklepowego systemu pozwoliła wcisnąć firma montująca tam... klimatyzację.

Hakerzy wykorzystują też słabości oprogramowania, szukając w nich dziur, przez które można się przecisnąć. Szczególnie groźne są tzw. luki dnia zerowego, czyli takie, których jeszcze nie odkrył i nie załatał producent oprogramowania ani twórcy programów antywirusowych.

Wiele cyberwłamań ma na celu nie szantaż, lecz zwykłą kradzież. Chętnie kradzione są bazy danych o klientach, które stanowią atrakcyjny towar do sprzedaży. Także poufne materiały, tajemnice firmowe mają swoją wartość.

W przypadku ataków precyzyjnie celowanych zwanych APT (Advanced Persistent Threats) włamywacze rozpracowują firmę nie tylko metodami informatycznymi, ale także tradycyjnymi – zbierają o niej informacje, odwiedzają, nawiązują kontakt z pracownikami. Stosują często sztuczki socjotechniczne mające zainteresowanych wprowadzić w błąd, np. dzwoniąc albo wysyłając listy mające uwiarygodnić ich przekręty.

Włamanie do Plus Banku postawiło na nogi nie tylko policję, ale także Komisję Nadzoru Finansowego, która niedawno wydała ostrzeżenie dla wszystkich banków o grożących atakach hakerskich. Pojawiła się też Rekomendacja D z zaleceniami dotyczącymi bezpieczeństwa środowiska teleinformatycznego w bankach.

Banki są dziś najbardziej narażone na ten rodzaj przestępczości. Będzie on narastał wraz z rozwojem bankowości internetowej i mobilnej. Na razie najbardziej cierpią klienci, bo aktywność hakerów nastawiona jest na włamywanie się do kont osób prywatnych, przez przejmowanie kontroli nad ich komputerami, wyciąganie z nich haseł i loginów, a także przez podstawianie fałszywych bankowych stron transakcyjnych (phishing).

Jak namierzyć cyberwłamywacza z Plus Banku? Sprawcy, także w świecie cyfrowym, zostawiają ślady, co daje tropiącym pewne szanse. W końcu nawet najsłynniejszy haker Kevin Mitnick wpadł i trafił za kratki. Na dodatek wiele wskazuje na to, że Razor miał wspólników i doszło między nimi do konfliktu. Jeden z nich o nicku Polisilver przedstawił własną relację z włamania na chętnie czytanym przez hakerów portalu Zaufana Trzecia Strona. Zdradził, że szantaż był wynikiem desperacji, bo włamywacze próbowali wydostać z banku pieniądze, ale to im się nie udało.

Skrzywdzony włamywacz

Pan Piotr jest prezesem i współwłaścicielem firmy średniej wielkości (tylko tyle chce zdradzić). Padł ofiarą cyberwłamania i nawet poznał sprawcę. – Nie mam pojęcia, jak tego dokonał. Pilnujemy systemu, inwestujemy w zabezpieczenia, wynajmujemy specjalistyczne firmy, które robią nam audyty bezpieczeństwa – ubolewa pan Piotr. Włamywacz odwiedził kiedyś ich firmę, udając potencjalnego klienta. W trakcie rozmowy poprosił o zeskanowanie swojego dowodu osobistego i wysłanie skanu pod jakiś adres mailowy. Sekretarka spełniła tę prośbę. Kilka godzin później powrócił z plikiem wydruków. – Rzuciłem okiem i zrobiło mi się słabo. To była nasza korespondencja z klientami, umowy itd. – opowiada prezes. – Haker powiedział, że znalazł to w sieci, a na naszym serwerze jest też skan jego dowodu osobistego, więc naruszamy jego dane osobowe. Zapytał: jakie w tej sytuacji macie dla mnie propozycje...?

Zdradził, że tę samą metodę stosował wobec innych firm i te były skłonne do negocjacji. Prawnicy poradzili panu Piotrowi, żeby odmówił. Zastanawiał się, czy nie zawiadomić prokuratury, ale haker wyjaśnił, że na jego komputerze nikt niczego nie znajdzie, bo wszystko jest ukryte gdzie indziej. Na razie jest pat. Haker czeka, bo zorientował się, że firma pana Piotra przeprowadziła prywatne śledztwo i nie wie, czego się o nim dowiedziała. Prezes drży, bo jeśli klienci dowiedzą się o wycieku, mogą stracić zaufanie.

Policjanci i bandyci

Liczba ataków hakerskich rośnie lawinowo. Ofiarami są wszyscy, od wielkich koncernów po małe firemki. Także osoby prywatne. To efekt nie tylko rozwoju cyfrowej gospodarki, ale także rosnącej liczby urządzeń połączonych z internetem. Przybywa drzwi, przez które można się włamać. Straty w skali świata są szacowane na 375–547 mld dol. rocznie. Inne badanie wykazuje, że straty związane z kradzieżami tajemnic handlowych mogą sięgać 1–3 proc. PKB.

– Gospodarka przenosi się do internetu, a za nią podąża świat przestępczy. Włamywanie się do bankowych sejfów czy kradzież samochodów jest bardziej ryzykowna i mniej dochodowa od cyberprzestępczości. To domena zorganizowanych grup przestępczych – przekonuje Juliusz Niemotko, wiceprezes ABC Data, największego w naszym regionie dystrybutora sprzętu komputerowego i oprogramowania.

ABC Data widzi ten problem po zainteresowaniu klientów, którzy szukają coraz lepszych informatycznych zamków do swoich cyberdrzwi. – Z naszych badań wynika, że polskie firmy już 5,5 proc. budżetów przeznaczonych na informatykę wydają na bezpieczeństwo informacji. To więcej niż średnia światowa – wyjaśnia Patryk Gęborys z PwC.

Być może jest to efekt świadomości przedsiębiorców, że instytucje państwowe niewiele im pomogą. „Cyberprzestępczość stanowi realne zagrożenie dla obrotu gospodarczego, a system prawny w tej chwili nie zabezpiecza go w sposób należyty przed cyberatakami” – twierdzi adwokat Janusz Tomczak, partner w kancelarii Wardyński i Wspólnicy. Wprawdzie w Kodeksie karnym są przepisy dotyczące przestępstw o ochronie informacji, ale skuteczność ścigania i liczba osób skazanych nie jest wielka. Prawnicy tłumaczą, że przestępczość w sieci nie jest ograniczona granicami państw, a prawo karne owszem.

– Polskie organy ścigania cały czas się uczą. I to z sukcesem. Mieliśmy już w Polsce kilka przypadków, kiedy namierzyły i zatrzymały sprawców cyberataków – twierdzi Grzegorz Barcicki, dyrektor IT w spółce home.pl, największym polskim operatorze domen internetowych. Jego zdaniem większość ataków, do jakich u nas dochodzi, jest autorstwa krajowych hakerów. Przeprowadzane są zwykle z innych krajów, co komplikuje ściganie. Co prawda UE dorobiła się już wielu dokumentów o zwalczaniu przestępczości w sieci, ale dopiero od niedawna działa Europejskie Centrum ds. Walki z Cyberprzestępczością koordynujące transgraniczną walkę z hakerami. Hakerzy są wciąż pół kroku przed ścigającymi. A może i dwa. Wyścig trwa.