Pregled: 20 godina u svijetu cyber-sigurnosti

No pasarán! No pasarán?

Informacijska sigurnost jedna je od mlađih disciplina IT-ja i još nije našla svoje posebno mjesto u akademskim krugovima, a to se posebno odnosi na Hrvatsku. Ipak, dvjestoti broj OpenInfoTrenda dobra je prilika da se napravi povijesni presjek što se događalo u cyber security svijetu u posljednja dva desetljeća. No, kako ne bismo propustili nešto značajno, posvetit ćemo nekoliko redaka i događajima prije 1995. godine.

PIŠE: JURE ČULAR

Dvadesetak godina i dvjestoti broj. Posljednjih sam se tjedana prisjetio nekih svojih uradaka pisanih sad već davne 2009. i 2010. godine te s određenom sjetom iznova pročitao što sam tada pisao, kako sam razmišljao i što sam predviđao. I...nije to baš bilo tako loše. O tome koliko su se stvari otad promijenile ne treba duljiti – osvrnite se i razmislite koliko stvari iz IT svijeta tih godina još nije ni postojalo, a danas su uobičajena pojava. 

Mnogo se toga odonda promijenilo, osobito ako govorimo o samoj tehnologiji. S druge strane osnovni postulati koncepta informacijske sigurnosti ostali su na istom tragu. Ne čudi. Razvoj svijesti o značaju te domene ljudskog djelovanja i načina na koji upravljati cyber-sigurnošću su sfere koje se ne mogu razvijati ni približno brzo kao sama tehnologija. 

Svijet prije InfoTrenda

Enigma

Kada danas razgovaramo o informacijskoj sigurnosti to se u pravilu odnosi na sustave koji su na neki način povezani s računalima i računalnim mrežama. Vrlo mali dio domene informacijske sigurnosti i danas je izvan računalnih sustava, međutim stvar nije uvijek izgledala tako. Tri osnovna postulata koncepta informacijske sigurnosti su povjerljivost, cjelovitost i dostupnost - poznati kao CIA triad   (confidentiality, integrity, availability). Očuvanje ta tri parametra je osnovna zadaća svakog profesionalca koji se bavi informacijskom sigurnošću. Iako se sva tri elementa mogu vezati - i najčešće vezuju uz računalne tehnologije - povjerljivost kao pojam postoji u ljudskom društvu od pamtivijeka. Potreba da određena informacija bude poznata, vidljiva, povjerena... samo određenoj osobi nije tekovina modernih vremena. 
Začeci informacijske sigurnosti zapravo leže u kriptografiji odnosno metodama koje neku poruku ili informaciju čine vidljivom isključivo osobama kojima je namijenjena. Najraniji algoritmi kriptiranja koji su se najviše primjenjivali u vojnim krugovima datiraju iz vremena rimske vojske i Julija Cezara po kojem je algoritam dobio i ime. Korištenje osnovnih matematičkih modela supstitucije i permutacije nastavilo se kroz nadolazeća stoljeća tijekom kojih je razvijen velik broj kriptografskih algoritama. U cijelom razdoblju računala, računalne mreže i informacijski sustavi nisu bili ni znanstvena fantastika, pa se ne može reći da koncept informacijske sigurnosti počiva isključivo na postojanju računalne opreme. 
Unatoč tomu što su poruke pisali najprije na kamenu, drvu i papiru, a prenosili ih putem kurirskih službi, stručnjaci za informacijsku sigurnost posvetili su veliku pažnju svom poslu i za svoje doba izuzetno uspješno prikrivali tajne informacije.

Godina 1900.

Tri osnovna postulata koncepta informacijske sigurnosti su povjerljivost, cjelovitost i dostupnost - poznati kao CIA triad - confidentiality, integrity, availability.  Očuvanje ta tri parametra je osnovna zadaća svakog profesionalca koji se bavi informacijskom sigurnošću.

Početak XX. stoljeća donosi značajni iskorak u razvoju alata koji mogu unaprijediti ljudsko djelovanje i život. Razvojem sustava za proizvodnju električne energije uspostavljene su i prve mreže za prijenos energije, a ubrzo je prepoznata i mogućnost da samo jedan impuls te energije ili izostanak impulsa mogu predstavljati informaciju koja se u novim uvjetima može prenositi na vrlo velike udaljenosti velikom brzinom. Počeo je razvoj prvih računala, u početku kao pomoćnih strojeva koji će ljudima omogućiti brže obavljanje nekih osnovnih matematičkih funkcija. Samo su rijetki u to vrijeme mogli naslutiti što će nam računala donijeti u sljedećih sto godina. 
Međutim, jedna se stvar nije promijenila od Julija Cezara do danas, a to je da napredne i nove tehnologije uglavnom nastaju unutar vojnih krugova. Nepresušni izvori financiranja uz jasne ofenzivne ili defenzivne motive uvijek su bili vrlo plodno tlo za razvoj svega novoga. Tako je bilo i s računalnom tehnologijom, a ratna događanja u prvoj polovici XX. stoljeća svakako su pomogla da dođe do njenog brzog razvoja. Dakako, uz to je rasla i potreba za razvoj sigurnosti podataka koji su tada već uvelike izrađivani, pohranjivani i prenošeni putem naprednih komunikacijskih mreža.

Najraniji kriptografski algoritmi datiraju iz rimskog doba u vrijeme Julija Cezara po kojemu je algoritam dobio i ime

Mnogo je priča o primjeni  tih novih tehnologija tijekom Prvoga i Drugoga svjetskog rata, a priča o njemačkom uređaju za kriptiranje Enigma svakako je najpoznatija i najznačajnija za sve koji se bave informacijskom sigurnošću. Tek su nedavno objavljeni dokumenti cjelokupne operacije razbijanja algoritma Enigme otkrili razmjere važnosti tog čina za završetak rata i sprečavanje pogibije velikog broja ljudi. 
Nacistička je Njemačka u godinama prije rata razvila uređaj za kriptiranje poruka zasnovan na mehaničkim rotorima koji su, postavljeni u različite položaje, omogućavali brojne kombinacije kriptiranja. U to su se doba stalno pratile i prisluškivale radiokomunikacije, ali su njemačke snage bezbrižno slale svoje poruke, jer su bile zaštićene neprobojnim kriptografskim algoritmom. Ta kriptirana komunikacija imala je najznačajniju prevagu na Atlantskom oceanu gdje su nacističke podmornice izuzetno uspješno uništavale vojne konvoje s opremom i oružjem koje je SAD slao u Europu. Tim britanskih obavještajaca, redom matematičkih genija predvođenih brilijantnim Alanom Turingom, uspješno je dekodirao poruku kriptiranu Enigmom, Njemačkoj izbio snažan adut iz rukava i značajno utjecao na daljnji rasplet rata.

Stižu računala

Drugu polovicu XX. stoljeća snažno je obilježio razvoj tehnologije koja počiva na poluvodičima. Elektronički uređaji postali su sastavni dio svakog domaćinstva, a krajem šezdesetih i tijekom sedamdesetih računala pronalaze svoje mjesto i u dnevnom boravku. Iako današnji mobiteli svojom snagom i performansama višestruko nadmašuju tadašnja najbolja računala, to su ipak bili vrlo korisni i za svoje vrijeme napredni uređaji. Paralelno sa sve intenzivnijom primjenom računala u poslovne svrhe javljaju se i negativni aspekti računalnih mreža - kompromitacija prenosivih i pohranjenih podataka. Već je sredinom šezdesetih godina prvi put spomenut pojam ranjivosti, kao nedostatka u programskoj opremi čije iskorištavanje može dovesti do kompromitacije podataka. 
Iako je kao koncept prepoznat i prije 1950. godine, pojam virusa pojavljuje se u ranim sedamdesetima i označava zlonamjerni programski kod koji se sam širi računalnim mrežama   provodeći zlonamjerne aktivnosti. Velik dio informacijsko-sigurnosne industrije danas se bavi upravo virusima ili nekom od varijanti te vrste koda. 
Osamdesetih i devedesetih tehnologija se ubrzano razvija i računala postaju sastavni dio ljudskog života. Komunikacije i informacije šire se i prenose većinom putem računalnih mreža, a tvrtke svoje poslovanje zasnivaju na računalnoj podršci svim poslovnim procesima. Javljaju se prve organizirane hakerske grupe, računalni kriminal postaje unosan biznis, informacijska sigurnost je redovni predmet na naprednim sveučilištima, a pojam sigurnosti pri radu s računalima nešto s čim je dobro upoznata i šira javnost. I tako stižemo do 1995.

Što se zbivalo 1995. godine

Kevin Mitnick

Da, bili smo dvadeset godina mlađi. Ako se nekome 1995. godina čini daleka onda su to ponajprije ljudi koji se bave informacijskim tehnologijama. Promjene i događanja koja su se odigrala uistinu su nevjerojatna i o njima je napisano mnogo knjiga i snimljeno filmova, no izdvojit ćemo samo one najznačajnije. 
Godine 1995. objavljen je film The Hackers. Iako ne spada među najznačajnije događaje što se tiče same tehnologije, vrlo je važan sociološki pogotovo za ljude koji slove kao stručnjaci za informacijsku sigurnost. Ponajprije film pokazuje da je pojam informacijske sigurnosti i cyber-kriminala već 1995. godine postao mainstream te je filmska industrija procijenila da se isplati snimati film s tom tematikom.  Osim toga film je je utjecao na nekoliko generacija koje su zahvaljujući njemu (nije odmogla ni tada mlada Angelina Jolie u glavnoj ulozi) razvile interes i želju za edukacijom iz područja informacijske sigurnosti. Film je stekao kultni status i vrlo se često spominje na hakerskim konferencijama diljem svijeta. Kako je tada izgledala tehnologija? Iz današnje perspektive dosta loše. Pronašao sam članak u uglednom Newsweeku u kojem se internet naziva balonom. Pa da citiramo autora: ...Prava je istina da nikakva online-baza podataka nikad neće zamijeniti vaše dnevne novine, CD-ROM kompetentnog učitelja ili računalna mreža način na koji funkcionira vlada... I nakon dva desetljeća taj se tekst nalazi na Newsweekovoj web-stranici pod adresom www.newsweek.com/clifford-stoll-why-web-wont-be-nirvana-185306 gdje posljednji broj označava identifikator teksta u nekoj online-bazi podataka.

Uistinu, stvari su tada izgledale vrlo kaotično. Nije bilo Googla, brzine interneta bile su smiješne, a količina sadržaja nemjerljivo manja negoli danas. Ta se godina uzima kao početak rasta  dot-com balona, predstavljen je USB standard i programski jezik PHP, a pamti se i po uhićenju Kevina Mitnicka. Da, prije točno dvadeset godina uhićen je jedan od najpoznatijih hakera svih vremena zbog upada u informacijske sustave nekoliko američkih kompanija te osuđen na pet godina zatvora. Zakonodavstvo je prepoznalo cyber-kriminal kao novu vrstu koja se ni po čemu ne razlikuje od drugih kriminalnih aktivnosti. Sljedećih godina eskalirat će i stvari na tom planu 

Problem ranjivosti programske opreme prvi put se spominje već sredinom šezdesetih godina 

Godina 1997. - digitalizacija medija

Razvoj tehnologije doveo je digitalizacije brojnih medija koji su postojali već godinama i imali razvijeno i stabilno tržište. Nove su tehnologije omogućile brži prijenos i jeftiniju pohranu raznih sadržaja i muzičkih zapisa. Dotad distribuirana na fizičkim medijima kao što su magnetske trake i optički diskovi glazba je bila veliki biznis koji se najprije morao suočiti s poteškoćama jednostavnog kopiranja i autorskih prava. MP3 je kompresijski format kodiranja zapisa koji koristi činjenicu da ljudsko uho nije u stanju prepoznati cijeli raspon frekvencija koje čini zapis glazbe. Upravo iskorištavanjem te spoznaje MP3 format uspio je glazbene zapise znatno smanjiti bez značajnijeg gubitka kvalitete i time omogućiti brži prijenos i jednostavniju pohranu. Tako su se MP3 verzije popularnih glazbenih zapisa počele dijeliti na FTP poslužiteljima što je predstavljalo financijski udarac za konvencionalnu glazbenu industriju i same izvođače. Industrija je brzo odgovorila te je 1997. RIAA (Recording Industry Association of America) počela gasiti popularne FTP poslužitelje koji su se koristili za preuzimanje glazbe. Pokrenute su i brojne sudske tužbe protiv osoba koje su stajale iza poslužitelja - u pravilu to su bili tinejdžeri od 14 do 17 godina. Glazbena je industrija izgubila taj rat, a samo godinu dana kasnije rođen je Napster. 

Motivacija za napad (Izvor: http://www.morseagency.com/)

Godina 1999. - borba za zaštitu informacija

Godine 1999. informacijska sigurnost postaje pravi mainstream. Razlog tome su masovni propusti u najpopularnijem i najraširenijem operativnom sustavu Windows 98 te u brojnim drugim popularnim softverskim paketima. Proizvođači programske opreme izdaju stotine zakrpi i savjeta, a objavljeni su i brojni anti-hacking alati namijenjeni uporabi na kućnim računalima. Prvi put i vlada SAD-a otvoreno priznaje borbu na području zaštite svojih informacijskih resursa najavom inicijative vrijedne 1,46 milijardi dolara koja bi trebala unaprijediti sigurnost na sustavima koje koristi američka vlada. Područje cyber-sigurnosti u državnim službama nije bilo potpuno zanemareno, ali od te su godine brojne vlade uvidjele da mogu iskoristiti činjenicu što računala podržavaju sve više i više poslovnih procesa. Sljedeće će desetljeće biti obilježeno brojnim primjerima provođenja računalnih napada pod sponzorstvom država. Međutim, dva su odjeknula najglasnije.

Neki od najznačajnijih događaja u posljednjih 20 godina

Od 2007. do 2010. – kad države pokažu zube

Iako je prepoznat i prije 1950. godine, pojam virusa pojavljuje se u ranim sedamdesetima kao zlonamjerni programski kod koji se sam širi računalnim mrežama 

Dosad smo opisujući razvoj napada tijekom vremena najčešće spominjali ugrožavanje tajnosti. U kasnim devedesetima poslovnih procesa u industriji, pri upravljanju državom ili bilo kojem čimbeniku ljudskog života bilo je već toliko da je najveći dio aktivnosti bilo gotovo nemoguće zamisliti bez podrške računala i računalnih mreža. Tada su napadači počeli ciljati na posljednji element CIA triade – dostupnost.
DoS napad je engleski akronim za Denial of Service odnosno uskraćivanje usluge. Napad je okarakteriziran upravo svojim nazivom – legitimnom korisniku je uskraćen pristup odnosno korištenje servisa ili usluge. Najjednostavniji način za objašnjenje te vrste napada je usporedba s prometnom gužvom – svaka prometnica ima svoj kapacitet, broj vozila koja se mogu njome kretati u određenom trenutku. Kad se taj broj premaši promet se jednostavno zaustavlja – usluga ili svrha postojanja prometnica postaje uskraćena svim korisnicima.
Elementi u računalno-komunikacijskoj infrastrukturi imaju svoja ograničenja baš kao i prometnice. Iako je redundancija obvezan pojam pri uspostavi bilo koje vrste informacijskog sustava, resursi su ipak limitirani. Količina prometa koju može prenijeti komunikacijski link, broj konekcija na poslužitelju u određenom vremenu ili broj operacija koje procesor može obaviti neki su od parametara koji definiraju resurse elemenata informacijskog sustava. I iako tehnologija ubrzano napreduje povećavajući te parametre za cijeli red veličine u samo nekoliko mjeseci ili godina, ti resursi u danom trenutku imaju svoj limit – jednom kad ga se dosegne, servis ili usluga postaju nedostupni.
DoS napada je bilo i ranije, ali rastom sirove računalne snage i broja procesa koji se oslanjanju na računala ti napadi su krajem prvog desetljeća ovog stoljeća postali sve značajniji.
Dvadeset i šestog travnja 2007. godine započeo je cyber-napad na estonske informacijske resurse. Prva dvadeset i četiri sata prošao je više-manje nezamijećeno, a onda su meta ubrzo postale web-stranice najvažnijih estonskih političkih stranaka i stranice državnih institucija. Sljedećih se dana intenzitet napada značajno povećao i počele su se provoditi prve obrambene mjere i analize napada. Većina dolaznog prometa koji su napadači iskoristili za DoS napad dolazio je izvan Estonije te su prve mjere obrane uključivale blokiranje prometa iz inozemstva.

Procjena troškova cyber-incidenata (Izvor: 2015 Scalar Security Study)

Sljedećih dana meta su postale i estonske financijske institucije, ponajprije bankarski sustav. Već do 10. svibnja, najveća estonska banka Hansabank bila je prisiljena obustaviti online poslovanje. Država u kojoj se 96 % transakcija obavlja online ostala je bez te usluge. Prestali su raditi bankomati, a estonske kreditne kartice više se nisu mogle koristiti nigdje u svijetu. Prije nego što su 19. svibnja napadi konačno obustavljeni srušeno je nekoliko stotina servisa i web-stranica. Vlada je u jednom trenutku odlučila blokirati cjelokupni promet koji je dolazio iz inozemstva čime je Estonija postala komunikacijski izolirana zemlja.
Ni danas se ne zna tko je stajao iza tog napada, no estonske su vlasti odmah optužile rusku vladu koja je žurno negirala sudjelovanje i organizaciju napada. Unatoč tomu što organizator nije nikad otkriven, naknadne analize pokazale su da su u napadu sudjelovali hakeri aktivisti i mnogo tzv. script kidsa, osoba željnih sudjelovanja u takvim akcijama, ali s limitiranim znanjem. Tijekom napada na brojnim su se ruskim forumima pojavile upute kako jednostavno lansirati DoS napad s vlastitog računala što su mnogi i prihvatili.
Godine 2010. opet se dogodilo slično -  pretpostavljeno je da je jedna država aktivno sudjelovala u kompromitaciji resursa druge. Dakako, bez službene potvrde i priznanja. Stuxnet je računalni crv čija je masovna pojava prvi put zabilježena sredinom 2010. godine, iako postoje indicije da je nastao već 2009. To je prvi zloćudni kod koji targetira industrijske sustave i pristupa izravno PLC-ovima (programabilnim kontrolorima). 
Iako je prvi Stuxnetov napad zabilježen na postrojenju u Njemačkoj, njegova su meta ubrzo postali najkontroverzniji nuklearni pogoni u posljednjem desetljeću, oni u Iranu - Natanz i Bushehr. Iranski nuklearni program ubrzano je napredovao posljednjih godina, unatoč sve strožem nadzoru i ponekad čak otvorenim prijetnjama zapadnih sila, osobito susjednog Izraela i Sjedinjenih Američkih Država. Jedan od parametara koji vjerno prikazuje brzinu razvoja pogona je broj instaliranih centrifuga koje se koriste za izolaciju težih izotopa urana. 
Prvi znak da nešto nije u redu s iranskim nuklearnim programom jest izvješće Međunarodne agencije za nuklearnu energiju koja je u veljači 2010. objavila da je u iranskim postrojenjima značajno smanjen broj uređaja za centrifugu – deinstalirano je gotovo tisuću centrifuga u vrlo kratkom roku. Iako su ti uređaji u iranskim postrojenjima poznati kao tehnološki nedotjerani i skloni kvarovima, takvo masovno isključenje sugerira ozbiljne poteškoće. Stuxnet je uništavao uređaje za centrifugu pristupom kontroloru za brzinu centrifuge te učestalim mijenjanjem brzine uslijed čega su centrifuge i okolni uređaji otkazivali poslušnost. U studenom 2010. Iran službeno priznaje da je njihov nuklearni program oštećen i privremeno usporen zbog Stuxneta. Napadači nisu identificirani iako je javnost nedvosmisleno sumnjala na umiješanost Izraela i SAD-a koji su negirali sudjelovanje u napadu, ali su jasno dali do znanja da su zadovoljni činjenicom da je iranski nuklearni program usporen. Iran je nekoliko godina nakon tog događaja dobio umjereniju vladu te s međunarodnim institucijama potpisao dugoočekivani sporazum o nuklearnom naoružanju.

Što nisam spomenuo

Godine iza nas bile su izuzetno zanimljive. Pokušao sam detaljnije opisati neke važnije događaje koji su bili svojevrsna prekretnica u kretanjima, no takvih je momenata bilo puno. Pa, što nisam spomenuo? Tijekom posljednjih godina razvijeno je mnogo alata za detekciju zlonamjernih aktivnosti, brojke koje govore o ulaganjima u informacijsku sigurnost (ofenzivnu i defenzivnu) iz godine u godinu rastu s dvoznamenkastim stopama. Antivirusne kompanije postale su divovi i pravi istraživački centri, ali gube bitku s modernim zlonamjernim kodom. Virusi današnjeg doba pisani su tako da ih gotovo nije moguće detektirati u realnom vremenu, neki od najpoznatijih uzoraka zlonamjernog koda otkriveni su nakon nekoliko godina... Cyber-kriminal danas premašuje trgovinu droge, iza svake snažnije kampanje stoje ozbiljne organizacije kojima nije moguće ući u trag. Dogodilo se mnogo i sa sociološke strane. Hakerske grupe često djeluju s političkim motivima, postoji snažna rasprava oko prava na privatnost koje u uvjetima opće povezanosti na internet gotovo više i nema. Posljednjih godina vidjeli smo i Wikileaks te se upoznali s radom Edwarda Snowdena. Ne može se reći da je bilo dosadno.

OpenInfoTrend broj 400 - rujan 2035.

Zakonodavstvo je prepoznalo cyber-kriminal već prije 20 godina. Jedan od najpoznatijih hakera svih vremena, Kevin Mitnick osuđen je na pet godina zatvora zbog upada u informacijske sustave američkih kompanija.

Ako se malo dublje zamislite o svemu tomu zasigurno se pitate što slijedi i kako će izgledati jubilarni 400. broj OpenInfoTrenda. Za početak, okladio bih se da ga nećete čitati na papiru. 
Što će se događati u svijetu informacijske sigurnosti? Po mom mišljenju odgovor ovisi o tomu kako će izgledati tehnologija u to doba, a naznake postoje već danas. IoT (Internet of Things) više nije najnoviji pojam. Broj uređaja koji imaju IP adresu i spojeni su na računalnu mrežu nezaustavljivo raste pa je već uobičajeno da vam je hladnjak spojen na mrežu kako biste mogli njime daljinski upravljati. Automobili bez vozača već su u poodmakloj fazi testiranja, a dokaze njihova uspješnog hakiranja već možete pronaći na Youtubeu. 
Dakle, sve spojeno na mrežu i sve što komunicira s vanjskim svijetom bit će ugroženo i meta kompromitacije. A tih je stvari iz dana u dan sve više. Hoće li se s komunikacijskom mrežom povezati i ljudsko tijelo i mozak te postati meta napada? 
Posljednjih godina brojne stručnjake i ugledne osobe iz IT svijeta zabrinjava brz razvoj umjetne inteligencije bez ikakve kontrole. Teško je i zamisliti informacijsku sigurnost u okruženju umjetne inteligencije, iako to na prvi pogled ne izgleda jako opasno. Ipak sve skupa će najviše ovisiti o stanju u kojem će biti svijet neovisno o računalima, mrežama, poslužiteljima i aplikacijama. Ako potraje stalna napetost ili otvoreni sukobi između velikih sila, ako tržišna konkurencija i dalje bude agresivna, a globalna borba protiv cyber-kriminala korak ili pet iza kriminalaca, mislim da će četiristoti broj OpenInfoTrenda izgledati slično kao danas – red tehnologije, red sukoba, red kriminala.