Włamanie do agencji rządowej Office of Personnel Management miało miejsce, jak podał „Washington Post”, w grudniu ubiegłego roku. Amerykanie zorientowali się, że taki atak miał miejsce jakoby dopiero w kwietniu. Włamywacze – Amerykanie są niemal pewni, że działający na zlecenie chińskiego rządu – mogli wykraść dane osobowe co najmniej czterech milionów pracowników rządowych. W tym służące identyfikacji, niczym polski PESEL, numery ubezpieczenia społecznego (social security).

Według ekspertów to ci sami sprawcy, którzy okradli z danych specjalizujące się w ubezpieczeniach i opiece zdrowotnej firmy Premera i Anthem. Premera przyznała, że mogła utracić zapisy dotyczące 11 mln klientów, z kolei Anthem przechowuje w swojej bazie około 80 mln numerów ubezpieczenia społecznego obywateli USA.

Skala inwigilacji może jeżyć włos na głowie, zwłaszcza że nie jest to pierwszy głęboki cios w rządowe bazy danych USA – choć zdecydowanie największy wykryty w historii zero-jedynkowych zimnych wojen.

Wielka ofensywa chińskich hakerów na rządowe bazy danych zaczęła się co najmniej na początku ubiegłego roku; z różnym powodzeniem atakowali różne cele – w tym sieć Office of Personnel Management. Amerykanie mają też świeżo w pamięci skuteczną inwigilację sieci pocztowej Białego Domu przez hakerów z Rosji. Ich najbardziej spektakularnym łupem okazała się prywatna korespondencja Baracka Obamy.

To naturalne, że Amerykanie są zszokowani. Postrzegając się jako tradycyjna potęga militarna, odruchowo zakładają, że taki sam podział sił obowiązuje w cyberprzestrzeni. Tymczasem atak na bazy OoPM, biorąc pod uwagę skalę potencjalnych szkód, można śmiało porównać do klęski floty w Pearl Harbor. Wtedy też mało kto przypuszczał, że lekceważeni Japończycy są zdolni do aż tak skutecznego ataku.

Nieskuteczność zapór antywłamaniowych agencji rządowych USA nie powinna jednak dziwić. Inwigilacja w internecie jest dziś raczej normą niż wyjątkiem, a przez wielkie sieci czasami łatwiej się prześlizgnąć niż przez małe. Zbyt wiele pozostaje uchylonych furtek. Decydują ludzkie błędy – kliknięcie w załącznik z trojanem wysłany przez szpiega podszywającego się pod szefa, wykorzystanie w pracy zainfekowanego nośnika pamięci czy choćby naiwne zdradzenie kluczowych informacji w rozmowie telefonicznej, co wykorzystywał już w latach 90. pierwszy słynny haker Kevin Mitnick.

Zawodowcy oczywiście potrafią także wyszukiwać nieznane dotychczas błędy w oprogramowaniu, i tak uchyloną furtką niepostrzeżenie włamywać się do strzeżonych systemów.

Paweł Dawidek, ekspert ze specjalizującej się w zabezpieczaniu systemów IT firmy WHEEL Systems, wskazuje na kilka powszechnych źródeł błędów w oprogramowaniu. Jednym z nich jest dominujące jeszcze nie tak dawno podejście do projektowania systemów operacyjnych, które przede wszystkim miały wykonywać zadania szybko, bezpieczeństwo nie było wtedy najwyższym priorytetem.

– Kiedy zdecydowano się na wprowadzenie mechanizmów bezpieczeństwa, miały one na celu separację użytkowników systemu między sobą, a nie separację i izolację programów wykonywanych przez jednego użytkownika – mówi Dawidek. – Dlatego też najpopularniejszy model systemów operacyjnych to duże jądro systemu z najwyższymi uprawnieniami oraz bardzo wysokie, acz niepotrzebne z praktycznego punktu widzenia uprawnienia dla wykonywanych programów.

Ten system był tworzony z myślą o licznych użytkownikach korzystających z jednego programu (systemu operacyjnego). Dziś jednak coraz częściej to jeden użytkownik korzysta z różnych systemów operacyjnych jednocześnie, na przykład w komputerze i smartfonie. To oznacza, że trzeba separować dla zachowania bezpieczeństwa nie tyle poszczególnych użytkowników, ile poszczególne programy. Ta zmiana się już od pewnego czasu dokonuje, ale sprawny haker wciąż może znaleźć w systemach zabezpieczeń sporo dziur.

O porażce całego, nieraz bardzo kosztownego projektu może zadecydować czasami parę przeoczonych linijek kodu – czy to zostawionych w programie przez nieuwagę, czy też zlekceważonych jako nieistotne. Dobrym przykładem takiej klęski była katastrofa rakiety Ariane-5. Jej budowa trwała 10 lat i kosztowała 7 mld dol., rakieta rozpadła się kilkadziesiąt sekund po starcie. Okazało się, że część oprogramowania skopiowano ze starej Ariane-4. System, odwołując się do funkcji nieobecnej w Ariane-5, zgłosił po starcie błąd. Ogłupiony komputer nawigacyjny wydał silnikom polecenie wykonania nagłego zwrotu o 20 stopni. Po tym nie mógł już zapobiec katastrofie żaden manewr systemu awaryjnego.

Warto pamiętać o tej lekcji. Europejska Agencja Kosmiczna zatrudnia bez dwóch zdań świetnych naukowców, teoretycznie przy takich nakładach i poziomie profesjonalizmu wszystko powinno być sprawdzane wielokrotnie, a jednak zadecydowały typowe ludzkie błędy. Śledztwo wykazało, że nie sprawdzono dokładnie założeń oprogramowania Ariane-4, nie było też niezbędnych testów ani symulacji programowej.

Zakładanie, że ranga instytucji, poziom zatrudnionych przy projekcie ekspertów i wysokość stawki gwarantują oprogramowaniu niezawodność, jest naiwnością. Skuteczność ataków hakerskich na najlepiej strzeżone bazy danych świata, do których przecież dochodzi obecnie co rusz, nie jest zatem żadną sensacją, ale kolejnym potwierdzeniem reguły najsłabszego ogniwa.

Czy to nam grozi? Owszem, ale można ograniczać ryzyko. Zapisywać w formie cyfrowej krytyczne dane jak najrzadziej, nie przekazywać ich pochopnie nikomu, zachować ostrożność w internecie i przy sprawdzaniu e-poczty, korzystać z jak najlepszych możliwych zabezpieczeń IT, by utrudnić życie sieciowym złodziejom detalistom.

W cyfrowym świecie, gdzie inwigilacja jest tak powszechna i prosta, w pełni bezpieczni nie będziemy jednak już nigdy.