Tajne službe vole "rupe" u računarskim sistemima
16. maj 2017Njemački Chaos Computer Club je najveća udruga hakera Europe i ta nevladina organizacija savjetuje između ostalih i njemačku vladu. S glasnogovornikom te udruge Falkom Garbschom smo razgovarali o virusu "WannaCry" koji prošlog vikenda nije samo uzrokovao ogromnu materijalnu štetu, nego je i direktno ugrozio živote ljudi - žrtva je bio i kompjuterski sistem britanskog zdravstvenog sustava.
DW: Predsjednik Microsofta Brad Smith je u svom blogu iznio optužbe kako je i američka vlada i služba NSA zapravo kriva za širenje ovog virusa, jer tajne službe marljivo "sakupljaju" propuste u sigurnosti računala kako bi ih same mogle koristiti za svoje rabote. Ima li u tome istine?
Falk Garbsch: U osnovi to odgovara onome što mi već godinama kritikujemo. Znamo da tajne službe sakupljaju "rupe" u sigurnosti operativnih sustava kako bi ih mogle koristiti kao digitalno oružje. Kupuju i takva saznanja o "rupama" i na crnom tržištu koje postoji za takve stvari ili unajmljuju ljude koji će za njih nalaziti takve propuste u sigurnosti. Onda ih i koriste kako bi ciljano "provalili" u nečiji sustav. Za američke tajne službe su izuzetno zanimljiva područja industrijske špijunaže, špijunaže gospodarskih i znanstvenih podataka i tu su izuzetno aktivni. Ali sakupljaju se i osobni podaci i to digitalno oružje služi kako bi se zarazilo udaljene sustave i ušlo u njihova računala.
To znači da službe sigurnosti nikad neće proizvođačima programa otkriti nešto što zapravo ugrožava sigurnost, zato jer to same žele koristiti?
Točno tako. Ako na tržištu kupite takvu "rupu" ili uložite veliki napor da je nađete, onda naravno da vam je interes da taj otvor bude što duže otvoren i da ga što više možete koristiti, zato jer se tu radi o mnogo novca. Ali ako se takvi propusti u sigurnosti odmah ne zatvore i sustavi na čitavom svijetu ostanu nesigurni, onda ih mogu koristiti i kriminalci.
A službe sigurnosti sve to čine potpuno namjerno i svjesno?
Ne samo službe sigurnosti. I politici je potpuno jasan rizik u koji se upuštaju. Vidimo svojevrsno digitalno naoružavanje nakon rasprava o manipulacijama izbornih rezultata proteklih mjeseci, nedostaci u sigurnosti računala se sada stavljaju pod krinku nacionalne obrane i time se ruše stvarni sustavi obrane. Ovi posljednji napadi su tek prvi val. Ako se tako nastavi, ako mi naše tajne službe i dalje opremamo digitalnim oružjem umjesto da uklanjamo te nedostatke, moramo računati sa tim da će biti još gore. Jedina mogućnost obraniti se od napada hakera je politika obrane.
Vlade su valjda i same zainteresirane za sigurnost jer su i one žrtve napada...
Naravno da jesu. Zato me čudi da onda puštaju tajne službe da imaju takva sredstva. Politika konačno mora razumjeti da tu nije riječ o prostoru jedne države, nego da je to međunarodna konstrukcija. Naravno da svi imaju koristi ako se zatvori neki propust u sigurnosti. Ali ovo nije isto kao u klasičnoj vojnoj politici gdje se onda kupuju stvari i utrkuje se u opremanju i misli se: glavno da mi imamo bolje oružje. Ovdje vrijedi: ako ste ranjivi, onda ste ranjivi, bez obzira što inače imate. Ako u svojoj kući ugradim sigurnosne prozore, a uopće nemam vrata, onda i provalnik može ući kad hoće.
Ali ne pokušava li i Microsoft sada svaliti svu krivicu na tajne službe? Konačno, radi se o nedostatku u njihovom operativnom sustavu.
Naravno da Microsoft sada pokazuje na druge i govori; gledajte, oni nas nisu upozorili. Ali ovaj nedostatak jest bio otklonjen. Umjesto da su ga samo tiho zatvorili, Microsoft je trebao izaći u javnost i preko medija upozoriti svoje korisnike da svakako instaliraju taj update. To nije učinio. S druge strane, naravno da imaju i pravo kad kažu da to što čini NSA ne može proći. Koliko je meni poznato, NSA je još prošle godine znao da su detalji o ovom nedostatku "procurili" i da svatko može napasti računala. Barem tada su mogli informirati Microsoft.
Virus "WannaCry" je uspio blokirati golem broj računala. Mislite da će to potaći promjenu u razmišljanju?
Naravno da se uvijek moramo nadati da će politika razumjeti o čemu se ovdje radi. Ali ako poslušate izjave proteklih dana, onda više nisam tako optimističan. (Njemački ministar prometa) gospodin Dobrindt zahtijeva da se poboljša zakon o sigurnosti informatičkih sustava. Zapravo je to tek simulacija nekakve sigurnosti i nema baš nikakve stvarne koristi. Moraju se promijeniti politički koncepti i smjernice koje vode u tom smjeru i razmisliti o propisu da se zakonski mora javiti i objaviti svaki sigurnosni propust u računalima koji se nađe. Inače se tajne službe nikad neće odreći tog područja. Samo tako se trajno mogu štititi računalni sustavi.
A što je s nama, "običnim" korisnicima? Ne samo vlade, tajne službe i informatičari, ne treba li se i korisnike prisiliti na više odgovornosti?
Naravno. Svi mi koristimo tu tehnologiju i moramo se suočiti s onim što činimo. Moramo razumjeti da su nadogradnje sustava sigurnosti važne i kad dobijemo obavijest o "updateu", da onda ne čekamo mjesecima da "nađemo vremena" instalirati ih. Trebamo ih staviti čim stignu. Moramo razvijati kompetentnost i naučiti odakle dolaze opasnosti i kako da se obranimo. Odgovornost ima svatko od nas.
Razgovor vodila Helena Kaschel