– Ludzie używają Microsoftu, a alternatywy nie są stosowane. Oprogramowanie, które zostaje zhakowane, o czym ciągle czytamy w mediach, w rzeczywistości ma dość banalne luki w zabezpieczeniach, które zostały wciśnięte przez producenta. Można to łatwo rozwiązać, jeśli zmieniono by je na systemy alternatywne – mówi prof. Tobias Eggendorfer z Agencji Cybernetycznej w Halle (Saale), w rozmowie z BiznesAlert.pl.
BiznesAlert.pl: Cyberbezpieczeństwo w Niemczech nie jest w dobrej kondycji, zwłaszcza w administracji. Jakie są tego przyczyny?
Tobias Eggendorfer: Moim zdaniem przyczyny są bardzo różne. Z jednej strony mamy bardzo dziwne podejście do bezpieczeństwa IT. W administracji patrzy się, czy powiat obok już to ma i jak im z tym wychodzi. W procesach akceptacji oprogramowania nie mamy na przykład kontroli jakości w postaci testu penetracyjnego, który kontroluje zabezpieczenia. Pod tym względem pracujemy bardzo swobodnie, a to naturalnie prowadzi do wielu braków w bezpieczeństwie. Często ufamy producentom, a nie mamy niezależnych instytucji testujących software. Nie ma Tüvu jak dla samochodów. Agencja Cybernetyczna chce stworzyć formalne procedury weryfikacji software, za pomocą których będziemy mogli sprawdzić, czy oprogramowanie działa tak, jak mówi producent.
Czy ma to związek z tym, że jednostki administracyjne autonomicznie zamawiają swoje oprogramowanie? Ostatnio mówi się dużo o powiatach w Dolnej Saksonii…
Nie mam wiedzy na temat powiatów. Ale mogę powiedzieć o innych obszarach w administracji publicznej: tak właśnie jest. Przy czym ta autonomia jest często pozorna i niezbyt korzystna, bo po prostu robi się to, co robią sąsiedzi, a to oczywiście prowadzi do kupowania w kółko tego samego oprogramowania. Widzimy też dużą monokulturę oprogramowania w Niemczech. Ludzie wszędzie używają Microsoftu, a alternatywy nie są stosowane. Oprogramowanie, które zostaje zhakowane z przestępczą energią, o czym ciągle czytamy w mediach, w rzeczywistości ma dość banalne luki w zabezpieczeniach, które zostały wciśnięte przez producenta. Można by to łatwo rozwiązać, jeśli zmieniono by je na systemy alternatywne.
Czy pomogłoby, gdyby niemiecka administracja zaopatrywała się centralnie?
Bardzo trudne pytanie. Jeżeli zapewnimy scentralizowany serwis, zatrudnimy też bardziej kompetentnych ludzi i pozwolimy sobie na ten luksus, to byłoby to bardzo, bardzo dobre. Jeżeli administracja publiczna będzie dalej funkcjonować tak jak obecnie, kiedy miejsca pracy są raczej słabo wyposażone, słabo opłacane, a w procesie zamówień publicznych jest wiele ograniczeń, to nie jestem optymistą, Nie wiem, czy takie scentralizowane zamówienia rzeczywiście przyniosą jakąś korzyść. W takim razie dobrze byłoby nawet dać niektórym powiatom czy uczelniom możliwość autonomicznego wyboru systemów. Można by dać im więcej swobody i powiedzieć: dlaczego nie zrobicie czegoś innowacyjnego? Jednak obecnie często jest tak, że kiedy szef takiej instytucji mówi: „Chcę zrobić coś innego. Chcę użyć open source albo jego źródłowego wariantu. Wtedy często słyszy, że owszem, ale jak coś pójdzie nie tak, to będzie to jego wina. Wtedy ten szef rezygnuje ze względu na strach przed odpowiedzialnością. To właśnie takie zniechęcanie prowadzi często do powtarzania tych samych błędów.
Powinniśmy przejść na inne systemy operacyjne, aby być bardziej bezpiecznym? Koniec w Microsoftem?
Moje osobiste doświadczenie jest takie, że jakość oprogramowania Microsoftu raczej nie jest taka, jaka powinna być. Widzimy inne systemy, gdzie wkłada się dużo, dużo więcej wysiłku w sprawy bezpieczeństwa, szczególnie w obszarze serwerowym. Na przykład OpenBSD jest systemem, który w ciągu ostatnich 25 czy 30 lat miał dwie zdalnie wykorzystywane luki bezpieczeństwa, które mogły być zaatakowane przez hakerów. Microsoft ma takie błędy co dzień.
Oznacza to, że gdybyśmy mieli różnorodność systemową, to byłby większy dla hakera, bo musiałby on napisać kilka wersji w swoim malware. Malware potrzebuje bramki, czyli jakiejś luki w systemie, a ta luka jest oczywiście inna w każdym systemie. My tego nawet nie poczujemy. Czy piszę tekst w wordzie, czy w programie open to w zasadzie nie zwracam na to uwagi. Muszę się po prostu do tego przyzwyczaić. Tu jest kwestia emocjonalna, przywiązanie i dlatego nie chce się niczego zmieniać.
Ciekawe, co atakujący mają z atakowania stosunkowo mało znaczących jednostek, takich jak niemieckie powiaty?
To zależy, co jest celem atakującego. Dla wielu atakujących głównym aspektem są pieniądze. Chcą zarobić i bez względu na to, co atakują, zaatakowani płacą mi pieniądze za to, że zwrócą im pliki. To jest obecnie popularnym chwytem szantażowym. Robią masowe ataki na wszystko. Po prostu testują miliony systemów. Jeśli wejdą na 10 procent systemów, to mogą pobierać pieniądze od każdego z tych 10 procent. To jest dla atakującego doskonałe. Drugi rodzaj atakującego, który widzimy, a o którym Pani pewnie teraz myśli, to aktor państwowy. To są specjalne grupy sprawców, którzy mają określony interes wagi państwowej. Czyli oczywiście mogą to być również aktorzy cywilni, ale oni szukają czegoś szczególnego. Na przykład chcą sparaliżować Deutsche Welle czy samą agencję, i ci napastnicy wtedy postępują w sposób bardzo ukierunkowany. Dla nich ten próg musi być wtedy wyższy niż ten, nazwijmy go, popularno-kryminalny. Oni chcą na przykład szpiegować dane pracowników niemieckich sił zbrojnych, mogą też chcieć uzyskać indywidualne dane z kont bankowych.
Mamy więc do czynienia z dwoma grupami sprawców?
Są czasem sytuacje, gdzie przestępczość zorganizowana współpracuje z podmiotami państwowymi. Ale w zasadzie są to dwie różne klasy sprawców, także pod względem kompetencji. Oczywiście nie można wykluczyć, że przestępczość zorganizowana mówi: potrzebuję pieniędzy, potrzebuję środków, żeby przeprowadzić swoje ataki o dużej wartości, a po drodze biorę kilka mniejszych. To trochę tak, jak wtedy, gdy grupa terrorystyczna wpada na pomysł dokonania kilku napadów na banki, aby sfinansować swoje potrzeby. Ale faktycznie widzimy różnice w jakości infiltracji, w ekspertyzie, widzimy bardzo wyraźne różnice między tymi dwoma grupami.
Jak nabywa się te umiejętności hackowania? Czy to są geniusze matematyczni?
Cóż, oczywiście potrzebujesz specjalnych umiejętności. Ale w zasadzie każdy, kto studiował informatykę, może się ich nauczyć. Wielu informatyków uczy się niektórych z tych funkcji w ramach swoich studiów. Z drugiej strony oczywiście możesz również uczyć się w sposób samodzielny. W Internecie jest wystarczająco dużo kursów, możliwości nauki i innych rzeczy. To jest też całkowicie uzasadnione, że te kursy istnieją, bo jako obrońca przed takimi atakami muszę też wiedzieć jak działa atak. Tylko wtedy mogę myśleć o odpowiednich środkach zaradczych, a żeby móc to zrobić, muszę oczywiście wiedzieć również, jak działa atakujący.
Czy to oznacza, jeśli trzymamy się tej logiki, że te kompetencje są nabywane po obu stronach, przez atakujących i przez obrońców? Czy to oznacza, że te ich własne systemy – rosyjskie, północnokoreańskie i irańskie – są lepiej chronione, bo oni jednocześnie uczą się też chronić przed atakami?
W Niemczech wiemy dużo o atakach. Wiemy też, jak się bronić. Ale często ci, którzy kupują, wdrażają i obsługują systemy IT, nie są tymi, którzy zajmują się bezpieczeństwem. Zwykle mają więc kierownika ds. IT. Weźmy przykład uczelni. Jest kierownik IT, który prowadzi centrum komputerowe, a jest tylu i tylu profesorów od bezpieczeństwa IT. Te dwie grupy właściwie nie mają ze sobą nic wspólnego, bo to są osobne obszary. Jeśli masz szczęście, to ze sobą rozmawiają, wymieniają się pomysłami i uzupełniają, a jeśli masz pecha, to się nie lubią. Więc na bardzo banalnym, ludzkim poziomie, rzeczy mogą pójść nie tak i wtedy ten transfer wiedzy, który jest właściwie niezbędny, się nie odbywa.
Jeśli spojrzeć na ataki z ostatniego roku, czy znajdujemy tam podpis lub sygnaturę rosyjskich sił bezpieczeństwa?
Są ataki, które przypisuje się rosyjskim siłom bezpieczeństwa, ale także grupom północnokoreańskim i innym. Ale jest też wiele, wiele ataków, które można po prostu przypisać gangom ransomware, tym zwykłym. Im chodzi o szybki zarobek.
Jak Niemcy chcą się przed tym zabezpieczyć w przyszłości?
Myślę, że Niemcy muszą się nauczyć, że bezpieczeństwo jest integralną częścią funkcjonowania, zacząć uwzględniać bezpieczeństwo w zamówieniach na oprogramowanie, kiedy są one zlecane. Powinniśmy faktycznie podejmować kroki, na które pozwala nam prawo, na przykład wymagać odpowiedzialności za wady materiałowe i za cały produkt. Już samo to może wywierać presję na dostawców. To, co obserwujemy w praktyce, to tendencja ze strony dostawców do używania ciepłych słów, kolorowych ulotek i chwytliwych tekstów, aby sprawdzić, czy mogą pozbyć się odpowiedzialności za pomocą uników prawnych. Federalny Sąd Najwyższy powiedział kiedyś, że oprogramowanie jest zbyt złożone, by być wolne od błędów, ale to jest błędne myślenie. Oprogramowanie może być obarczone błędami, ale gdy zamawiam stół i on się chwieje, wtedy producent musi go poprawić. Mamy też przekonanie, że błędy i luki w zabezpieczeniach pojawiają się dopiero po fakcie, gdy oprogramowanie jest już wdrożone. To również jest błąd w myśleniu. Oni są odpowiedzialni za produkt od samego początku i to jest właśnie wymagane. I jeśli będziemy interweniować, wierzę, że w ciągu najbliższych kilku lat możemy osiągnąć bardzo wiele.
Czy skoncentrowana ilość infrastruktury i administracji w Niemczech, która oczywiście ma dodatkowy poziom ze względu na federalizm, jest bardziej narażona od innych?
Nie, nie uważam, że federalizm nam tu szkodzi, wręcz przeciwnie. Mogę sobie nawet wyobrazić, że przynosi nam korzyści, ponieważ może wnieść do krajobrazu heterogeniczność i w ten sposób osiągnąć wyższy poziom ochrony. Nie widzę też, by Niemcy były teraz szczególnie narażone. Są inne kraje, które mają podobne problemy i są zagrożone w podobnym stopniu.
Rozmawiała Aleksandra Fedorska
*Prof. dr Tobias Eggendorfer jest jednym z trzech kierowników działów nowo powstałej Agencji Cybernetycznej w Halle (Saale). Profesor ds. bezpieczeństwa IT uczył wcześniej na Uniwersytecie Nauk Stosowanych w Ravensburgu-Weingarten w Halle (Saale).
Intel na minusie może zrezygnować z budowy fabryki w niemieckim Magdeburgu