Kadarkoli se pogovarjamo o varovanju informacij, skoraj vedno najprej pomislimo na škodljivo programsko opremo – viruse, trojance itd. Potem nekaj o geslih, nekaj o varnostnih kopijah in nekaj o posodobitvah. Potem razmišljamo o tem, kdo pa so tisti, ki nam želijo slabo pri uporabi informacijskih tehnologij – o napadalcih. Če jih pričnemo deliti glede na motive, ki jih imajo, da bi nas »prizadeli«, jih lahko ponovno razdelimo glede na tipe in cilje:
- tradicionalne napadalce – motivira jih hiter zaslužek,
- aktiviste (hacktviviste) – motivira jih širjenje političnega sporočila, prepričanja, njihova dejanja odražajo stališče (npr. napad na politično strujo, ki po prepričanju ni demokratična, napad na ponudnika storitev, ki je nepošten, napad na bivšega delodajalca, napad na organizacijo, ki kljub opozorilom ne izboljša varnosti svojega informacijskega sistema),
- kibernetske vojskovalce – tukaj gre dejansko za predstavnike držav, njihove oddelke vojsk, kjer je njihov cilj izvajanje nadzora in sabotaž. Zanje je značilno, da imajo zelo veliko podatkov, znanja in virov.
Vse lepo in prav, dokler se pogovarjamo o teoretičnih klasifikacijah. Ampak – ta klasifikacija je povsem resnična in realna. Tako je tudi z njihovimi cilji in metodami.
Ta zapis bo nekoliko daljši, predstavil bo delovanje in koncepte delovanja »kibernetskih vojskovalcev« in sicer na praktičnem primeru. Vsaj probam lahko opisati okoliščine, ki so botrovale takšnemu napadu, motivacija in scenariji. Za razumevanje takšnega napada je potrebno razumevanja okolja in delovanja. Besedilo bo daljše – lahko ga jemljete kot »zgodbo četrtletja«.
Mamo ga!!!
Vse skupaj se prične nekje v 2012, ko strokovnjaki, ki se ukvarjajo z izdelavo in razvojem programske opreme, ki nas varuje pred škodljivo programsko opremo, odkrijejo nov virus. Po začetni analitiki so ugotovili, da jim ni jasno nič. Po mesecu dni analitike so ugotovili, da gre za neverjetno obsežno programsko kodo, saj je bilo količine kode približno 20-krat toliko, kot je bil takraten standard za viruse. Še huje – programska koda je bila praktično povsem čista, poenotena in neverjetno učinkovita. Praktično nobena vrstica kode ni bila tam ne da bi izvedla pomembno akcijo, napak v kodi praktično ni bilo. Analitiki so bili ob izvedbi analize začudeni in zmedeni, sami zelo dolgo niso ugotovili niti tega, kaj pravzaprav naj bi koda naredila in kaj je bil njen cilj.
Struktura odkritega supervirusa je temeljila na uporabi 0 day exploita. Saj se spomnimo – ko nekdo najde varnostno pomanjkljivost v, na primer operacijskemu sistemu, jo objavi in čas do popravka, ki varnostno luknjo pokrpa, se imenuje 0 day. Exploit pa je tiso, kar izkoristi oziroma zlorabi. Analitikom je bilo še toliko bolj nenavadno, da je bil novi virus določen na način, da je zlorabljal kar 4 različne 0 day exploite, kar je pravzraprav pomenilo, da je bil namerno napisan na način, da se bo namestil na računalniško napravo.
Naslednji del strukture supervirusa je bil zapisan del kode, ki je skrbel za to, da se je virus samodejno širili in kopiral na računalnike in na zapisljive podatkovne medije (USB ključki,…).
Po ocenah varnostnih strokovnjakov, je bila izvorna koda takšnega virusa, ki je bila za tisti čas revolucionarna, vredna med 100.000 do 500.000 ameriških dolarjev. Dejstvo, glede vrednosti kode in glede njene kompleksnosti in čistosti je govorilo o tem, da pri tem virusu avtorji verjetno niso navadni hackerji. Kot del avtorizacije za prosto pot pri širitvi je virus uporabljal tudi certifikate, ki so govorili in mu omogočali predstavljanje kot legitimen popravek – šlo naj bi za certifikate dveh podjetij s sedežem v Tajvanu, ki sta bila med seboj geografsko le malo oddaljena. Ta del je dejansko skupaj s 4 zero day exploiti odpiral vrata računalniških naprav. Problem avtorizacijskega certifikata pa ni v njegovem delovanju, pač pa v njegovi dostopnosti – certifikate se lahko generira na zelo varovanih in ločenih sistemih, kjer je vzpostavljen zelo visok nivo fizičnega in tehničnega varovanja – za vstop do sistema, ki generira certifikate, sta potrebni vsaj 2 osebi, kjer se identiteta preverja tako preko biometričnih metod, kot tudi preko potrjevanja z geslom. Takšne varnostne certifikate je zelo težko odtujiti, oziroma je za njihovo odtujitev potrebno imeti zelo velik vpliv.
Podrobnejša analitika kode je ugotovila, da je pri analizi binarnih zapisov pojavi beseda STUX in pa beseda net. Skupaj sta prvi dve besedi tvorili STUXnet in tako je bil ta virus tudi poimenovan.
Ko se je v reševanje zagonetnega virusa vključilo več mednarodnih strokovnjakov, je enemu od njih uspelo prepoznati določene vzorce zapisov v kodi – spominjali so ga na določljivo oznako, ki jo proizvajalec Siemens uporablja za svoje PLC krmilnike.
Siemens PLC krmilniki
OK – gre za enostaven računalnik, ki je zelo namenski. Ti krmilniki se uporabljajo v računalniško krmiljenih strojih in procesih. Sama oznaka PLC pomeni Programmable Logic Controler, skrbi pa za komunikacijo med aplikacijo in pa krmiljeno napravo. PLC krmilniki se torej nahajajo kot sestavni del kritične infrastrukture v omrežjih, kot je električno omrežje, vodovodno omrežje, omrežje prometne signalizacije. Uporabljajo se tudi v medicinskih okoljih, industriji… PLC krmilniki so pravzaprav sestavni del našega sveta. Njihovo delovanje se prične že z jutranjim tuširanjem, nadaljuje se s sodelovanjem v prometu in vsem vmes (ja, tudi kafe mašino za jutranje razvajanje je sestavila industrijska linija). Ja – če uporabljate džezvo, potem ste malo bolj neodvisni, samo, ko pa vlijete v kavo malo mleka, je pa to iz hladilnika, kjer pri izdelavi sodelujejo PLC-ji. Ne pijete z mlekom? OK – kava je zapakirana v vrečko, katere polnjenje je nadzoroval PLC. Torej – brez PLC te še džezva ne reši.
No, analiza oznak v kodi je kazala, da gre za določen konkreten tip PLC krmilnikov, ki se dejansko uporabljajo na kritični infrastrukturi.
Analitika kode je celo pripeljala do spoznanja, da je koda najprej preverjala, ali gre za določen tip krmilnika, za preverjanje je celo posredovala del testne kode, da se je glede delovanja prepričala – nato pa je sledilo aktiviranje napada. Zelo veliko napora je koda torej namenila za ugotavljanje tipa napadene opreme, šele nato se je napad izvedel – to je govorilo o tem, da gre za zelo zelo usmerjen napad.
STUXnet je v času svojega delovanja okužil ogromno računalniških naprav. Pojavil se je praktično povsod na računalniških napravah, ki za delovanje uporabljajo Microsoft Windows operacijski sistem. Če bi bila aktivacijska vsebina nekoliko drugačna, bi lahko to pomenilo veliko drugačen scenarij razpleta in delovanja.
Druge okoliščine
Med pojavitvami okuženih naprav je bila država Iran na prvem mestu. Tudi to je bila določene specifika, saj se virusi niso osredotočali na geografske žrtve, bolj na uporabnike določene storitve, določene aplikacije. Sploh pa se na zemljevidih kibernetskih napadov Iran ni pojavljal kot omembe vredna država.
Da bi lahko razumeli, zakaj ravno Iran, je potrebno pregledati aktualne dogodke, ki so takrat zaznamovali dogajanje v Iranu. V 2012 in nekaj let pred 2012 so iz iranske družbe izginjali jedrski fiziki. Izginjali? Prometne nesreče, samomori, umori.
V reševanje problema okoli skrivnostnega STUXneta se je varnostnim strokovnjakom iz podjetij Symantec in Kaspersky pridružil še nizozemski strokovnjak. No, pravzaprav je zgolj delil delček zelo pomembne informacije, ki je sicer vsem v svetu PLC krmilnikov kar dobro poznana. Vsak PLC krmilnik ima namreč svojo unikatno identifikacijsko kodo. Ker je škodljiva koda vključevala številke, ki bi lahko predstavljale kode PLC krmilnikov, bi bilo možno ugotoviti, za katere krmilnike gre in kje so locirani. Na podlagi namiga so ugotovili, da bi bili lahko žrtvi napada podjetji Vacon in Fararo, ki sta izdelovali frekvenčne konverterje za jedrske reaktorje. Glede na pridobljene podatke je bilo možno sklepati, da je bil cilj napada iranski jedrski reaktor. STUXnet je bil torej orodje za napad na kritično infrastrukturo neke države – to je bilo prvič, da se je kibernetski napad uporabljal kot orožje pri napadu na določeno državo.
Iranski jedrski program
Zgodovinski pregled jedrske infrastrukture v Iranu sega v sedemdeseta, ko so Američani podarili jedrski reaktor Iranu. To se je zgodilo v sedemdesetih letih prejšnjega stoletja, ko je Iranu vladal kralj Mohamed Reza Shan, ki je bil v zdelo dobrih odnosih s politično elito takratne Amerike. Takratni ameriški predsednik, Ronald Regan, je zelo podpiral krepitev in širitev jedrske tehnologije v Iranu, pripravljali so celo skupne projekte, ki so vključevali aktivnosti kot so sogradnje jedrskih elektrarn z Iranom in Pakistanom. Iranci so se že vedno videli kot dominanten narod na srednjem vzhodu in pridobitev statusa vodilnega na področju jedrske energije v regiji, je sovpadalo s takšnim razumevanjem. Leta 1979 se je v Iranu dogodila revolucija, ki je povzročila strmoglavljenje kralja Shana, iranski jedrski program je propadel, preden je prišlo do popolnega zagona. S spremembo vladajoče strukture je Amerika takoj spremenila tudi politiko glede prenosa jedrskih tehnologij v Iran. Celo pričela je z globalno aktivno kampanijo, da bi bilo potrebno Iranu izvesti popoln embargo na jedrske materiale in tehnologijo. Te aktivnosti so bile dokaj uspešne, pokvaril pa jih je Pakistan, ki je prikrito posloval na tem področju z Iranom. Abdul Qadeer Khan je bil takrat uspešen vodja pakistanskega jedrskega programa, ki ga je popeljal tudi do razvoja in izdelave potrebne infrastrukture za izdelavo pakistanske jedrske bombe. Posledično je užival veliko zaupanje pakistanskega političnega vrha, saj je izvajal operativni nadzor nad celotnim jedrskim programom – tako civilnim, kot vojaškim. V času vodenja se je v Katarju dogovoril z iranskimi predstavniki glede predaje načrtov za razvoj jedrskega orožja. V 80-ih letih je bil tako jedrski program Irana nekako v razvojno konceptualni fazi, v 90-ih pa je postal povsem zrel za produkcijske projekte. Seveda so se odločili da bodo aktivno delovali tudi operativno na lastnem jedrskem programu. Dodatno motivacijo za nekoliko bolj odprt in do neke mere celo javen pristop do jedrskega programa, so v Iranu nekoliko bolj sproščeno potrdili po ameriškem delovanju v Kuvajtu in pa Iraku, kjer so imeli očitno polne roke dela še po aktivnih vojaških operacijah. V obdobju 2003-2005 je bil razvoj iranske jedrske tehnologije zelo skriven, v 2006 pa so ugotovili, da Amerika nekako izgublja pomen na srednjem vzhodu (tudi glede na operacije v Afganistanu). Irančani so ocenili, da Amerika nima dovolj zmogljivosti, da bi si odprla novo konfliktno območje in so oživili svoj jedrski program.
V Natazu so tako vzpostavili objekt, katerega namen je bil med drugim izvajanje oplemenitenja radioaktivnega urana. Med postopkom izgradnje objekta, ki se nahaja dejansko sredi puščave, je bila uradna objava, da gre za izgradnjo centralnega namakalnega sistema s kontrolnimi sistemi.
Objekt je sicer zelo močno varovan pred zračnimi napadi, dejansko pa je večji del objekta lociran pod zemeljsko površino. Takšen način gradnje je dokaj razširjen na področju uporabe in razvoja jedrske energije. Kot vsi jedrski objekti na našem planetu (no, vsaj tisti, ki so »registrirani«) so pod budnim očesom mednarodne agencije, ki izvaja spremljanje nad delovanjem jedrskih objektov. Agencija IAEA (International Atomic Energy Agency) skrbi za nadzor nad vhodnimi in izhodnimi snovmi in surovinami. Ves material, ki se nahaja v jedrskih objektih, je skrbno nadzorovan, pregledan in zapečaten s strani IAEA in manipulacije s temi materiali so praktično nemogoče. Odstopanje, ki pa ga je zaznala IAEA, pa se je nanašalo na dejstvo, da se v Natazu uporablja za plemenitenje urana sicer izotop 236, ki pa je primeren za uporabo tudi v vojaške namene in je sicer prisoten zgolj v državah, ki imajo jedrsko orožje. Seveda se je v IAEA pojavil sum, da se uranov izotop ne uporablja zgolj in samo v civilne namene in je zato še nekoliko bolj poglobljeno nadzirala lokacijo. Ti so lahko ugotovili zgolj in samo visoko kakovost opravljanja del in nalog ter operativno zelo usklajene in harmonizirane postopke med zaposlenimi, kar je sicer dajalo vtis, da gre za delovanje ekipe, ki je neverjetno usklajena in ima že večletne delovne izkušnje v skupini, čeprav je bil objekt v Natazu šele dobro odprt. Pravzaprav je bilo to odstopanje edino zasledeno in je lahko pomenili kvečjemu to, da je Iran že pred Natazom izvajal aktivno delo s celotno skupino na lastnem jedrskem programu. Seveda pa ni v pristojnosti IAEA, da izvaja tovrstne raziskave in preiskave.
V Natazu so imeli vzpostavljene sisteme jedrskih centrifug, ki so bili nameščeni ob reaktorju. Centrifuge imajo funkcijo plemenitenja urana. Centrifuga torej izvaja ločevanje urana glede na lastnosti in na izhodu poda ustrezno kakovosten uran. Hitrost delovanja centrifuge je enaka zvočni hitrosti (300 m/s). Pri delovanju centrifuge se zato razvijajo velike sile, ki vplivajo na centralno os rotorja centrifuge. Ta se zaradi delovanja sil med centrifugo nekoliko ukrivi in dobi bananasto obliko. Da ne pride do poškodb in odstopanj, mora biti centrifuga zato zelo natančno uravnotežena. Seveda takšno kroženje rotorja povzroča tudi dodatno segrevanje centrifuge. Ja – kar se segreva, se lahko tudi hladi. Res. Dodaten problem pa predstavlja sestava materialov, ki se v centrifugi uporabljajo. Za notranjost rotorja se uporablja jedro iz ogljikovih vlaken, medtem ko je ohišje narejeno iz kovine. Pri segrevanju se ogljikova vlakna krčijo, medtem ko pa se kovina razteza. Uravnoteženje temperature mora biti zato še kako ustrezno, precizno in pa pravočasno. Ta postopek je tako zelo zapleten in zahteven, da je centrifugo zelo težko izdelati – postopki uravnoteženja in uravnovešanja so osnovani na občutkih in izkušnjah, matematični izračuni na tem področju niso dovolj natančni, saj je potrebno upoštevati preveč parametrov za izvedbo natančnega in optimalnega algoritma. Ravno zaradi uspešno izvedenih centrifug, so bili Irančani tako zelo ponosni na svoj jedrski program. Kot sestavni del velike propagande ob uspešnem delovanju reaktorja v Natazu in jedrskega programa nasploh, Irančani slavijo poseben dan – nacionalni dan jedrske energije. Ta se proslavlja v aprilu in takratni predsednik Mahmud Ahmedinejad (predsednik Irana od 2005 do2013) je zelo rad potrjeval priprave video posnetkov in ostalih promocijskih gradiv na temo jedrskega programa Irana. Kot del propagande je tudi jasno objavljal novice in stališča, da imajo pravico do lastnega jedrskega programa in da se pri tem ne bodo ozirali na omejitve, ki jim jih pri tem postavlja svet, mednarodne komisije in podobne organizacije in funkcije. Jasno se je zoperstavil tudi državam, ki so ga ovirale pri nadaljevanju izvajanja aktivnosti in postopkov plemenitenja urana. V letih 2007 in 2008 si je pridobil s takšno propagandno politiko veliko podporo med državljani, ameriško notranje-politično stanje pa je bilo v tem obdobju tako turbolentno, da enostavno ni bilo možno zavzeti jasnega stališča glede iranskega programa, propagande in aktivnosti. Dodatne pritiske na Ameriko je v obdobjih od leta 2006 dalje izvajal izraelski premier Benjamin Netanjahu, ki je javno pozival, da Iran izvaja močan in obsežen jedrski program in da je potrebno ta program zaustaviti. Izrael je predvideval celo celovit vojaški napad na Iran, Amerika pa je izvajala analitiko takšnega scenarija. Ker Amerika ideje o bombardiranju ni podprla, ameriška in izraelska obveščevalna služba pa zelo dobro medsebojno sodelujeta, ti dve obveščevalni službi ugotovita, da bo potrebno glede Irana zelo intenzivno skupno delovanje.
Prva aktivnost ameriških obveščevalnih služb na področju spremljanja in pridobivanja informacij je bilo izvajanja analitik objavljenih propagandnih materialov, ki so bili objavljanji ob nacionalnih dnevih jedrske energije. Podrobna analitika posnetkov in izvedenih fotografij je razkrivala tudi vsebino računalniških zaslonov, ki so bili nameščeni v prostorih. Jasno je bilo možno razbrati, da gre za SCADA sistem, podrobnejši pregled pa je razkril, da se v Natazu nahaja 6 skupin centrifug s po 164 enotami.
Takšna razporeditev enot se je popolnoma ujemala tudi s parametri, ki so bili vsebovani v STUXnet kodi – ta je izvajala spremembe nad obsegi 6 x 164. Analitiki STUXnet kode so pridobili ustrezne podatke glede prepoznave PLC krmilnikov in so pridobili enake modele za namene testiranja scenarija, kot ga predvideva STUXnet. Za preverjanje delovanja koncepta so uporabili črpalko in balone. Pripravljen in predviden scenarij je predvideval, da bo črpalka izvajala napihovanje balona in sicer za obdobje 5 sekund, saj ga glede na izračune v takšnem času napihne do ustrezne velikosti. Kodo so preverili in delovala je brezhibno. Nato so na računalnik, ki je komuniciral s krmilnikom, namestili STUXnet in ponovno zagnali program, ki je bil vsaj navidezno enak. No – črpalka je črpala tudi po tem, ko je bil balon že ustrezne velikosti – črpanje se je nadaljevalo, dokler balon ni počil. Analitikom je bilo v trenutku jasno – STUXnet je bil napisan za civilno družbo, za povzročanje škode v industrijskih okoljih ali njim podobnih okoljih oziroma infrastrukturnim okoljem.
Ob izvajanju analize kode je postalo analitikom hitro jasno, da obstaja omejen nabor držav, ki posedujejo ustrezne vire za razvoj takšne programske kode in imajo hkrati tudi interes, da se aktivno vmešavajo v iransko jedrsko infrastrukturo. Odgovornosti za STUXnet sicer nikdar uradno ni prevzel nihče (do nastajanja tega članka), so se pa pojavili nekateri žvižgači med agenti NSA, ki so postregli z nekaterimi dodatnimi podatki glede sodelovanja pri projektu STUXnet.
Kdo se gre zraven?
Viri iz NSA navajajo, da je bil STUXnet njihov proizvod in je nastal kot rezultat skupnega dela medagencijskega sodelovanja med CIA, NSA in ameriško vojsko, britanske obveščevalne agencije in izraelskega Mosada. Večji del razvoja programske kode naj bi priskrbel Mosad.
Gremo v Izrael
Izraelska letalska enota je 7. junija 1981 izvedla letalski napad na iranski jedrski reaktor Osirak. Vodja tega letalskega napada, general Amos Jadlin, je kasneje postal vodja obveščevalne službe in ustanovitelj enote 8200, ki je največja enota Mosada, znotraj katere pa deluje tudi kibernetski oddelek. Njihov glavni fokus je izvajanje nadzora nad kibernetsko tehnologijo (prisluškovanje telefonov, faksov, izvajanje vdorov v računalnike). Ravno Amos je vzpostavil enoto za kibernetsko delovanje in pričel z novačenjem med vojaki in civilisti.
Vojska, vojska, vojska
Časovnica vojn se lahko deli na osnovne koncepte krajev bojevanja. Tako nekje do 19. stoletja vojska izvaja bojevanje ne kopnem in na morju. V 20. stoletju se pojavijo letala in enačbi se pridruži letalstvo. V 21. stoletju pa se enačba poveča še za dodatno spremenljivko – področje kibernetskega vojskovanja. Kibernetske enote so pravzaprav tudi najbolj učinkovite – imajo hiter in velik doseg, še vedno pa je možno ohranjati visoko stopnjo anonimnosti ob izvedenem napadu.
Ravno te kombinacije lastnosti se je Bushova administracija pričela zavedati in v 2008 pričela z intenzivnim programom usposabljanja enot za kibernetsko vojskovanje. Ena od domislic te kibernetske enote pa je bil tudi STUXnet. Njegov razvoj je po ideji posredovan s strani vojaške enote za kibernetsko vojskovanje povzela CIA, ki je zaupala razvoj programske kode agenciji za nacionalno varnost (NSA). Poleg NSA je bila ustanovljena tudi agencija USCC (US Cyber Command), ki je imela sedež na istem naslovu kot NSA. NSA je torej posedovala opremo in metode, znanje in podatke, USCC pa je imela tudi pooblastila za izvajanje kibernetskih napadov. NSA torej izvaja nadzore nad sistemi, ki so nameščeni tudi izven Amerike, preko različnih orodij, ki omogočajo izvajanje spremljanja. Seveda pa je le korak od spremljanja delovanja izvajanja manipulacije nad podatki ali delovanjem. No, tega pa lahko izvede USCC. Povod za vzpostavitev USCC je bila temeljita analiza lastnega zaprtega omrežja NSA, ko je ta ugotovila, da ima na notranjem, zaprtem omrežju, prisotno neželeno, škodljivo programsko kodo. Takrat je NSA pravzaprav doživela kruto streznitev – noben računalniški sistem ali komunikacijski sistem ni varen.
Nabor oseb, ki jih je Amerika vključevala v USCC, je predstavljal predvsem vojake, ki so bili na opravljenih misijah in so imeli podobna znanja glede opravljanja vojaških operacij.
Amerika je med operacijami v Iranu aktivno vključevala tudi NSA in vzpostavila nadzor nad vsemi komunikacijami v državi Iran – pravzaprav popoln nadzor. Ta vključenost NSA je omogočala prepoznavo »slabih«, določanje njihovih lokacij, izvajanje spremljanja v lokalnem času. Amerika je lahko preko vzpostavljenih sistemov izvajala manipulacijo mobilnih telefonov, izvajala pošiljanje lažnih SMS sporočil, izvajala lažna dogovarjanja za sestanke, nato pa izvajala prejetja oseb ali pa celo njihove odstranitve.
NSA ima znotraj svojega delovanja vzpostavljeno enoto TAO (Tailored Access Operations), znotraj katere pa je vzpostavljen še center ROC (Remote Operations Center). Cilj ROC je, da zagotovi dostop do določenega cilja, do katerega je potrebno dostopati. Agenti, ki so zaposleni v TAO, se imenujejo »On net operators«, ker bi bilo malo nerodno, da bi jih imenovali hackerji. Poizvedbe, ki jih prejme ROC s strani ameriških vojaških in obveščevalnih služb so tako velike, da jih uspejo realizirati le okoli 30%. Metode, ki jih ROC agenti uporabljajo, so bodisi izvedba vdora, bodisi nameščanje namenske programske opreme, ki se namešča v pošiljke opreme za določene ciljne kupce (na primer dodatni komunikacijski čipi, ki se namestijo na krmilnike diskovnega polja in omogočajo prestrezanje podatkov).
Med agenti NSA se nikoli ni uporabljajo ime STUXnet. Projekt je imel kodno ime Olympic Games ali skrajšano OG. Za spremljanje razvoja in testiranje delovanja razvite programske kode se je uporabljalo krmilnike in identične centrifuge, kot so bile nameščene v iranskem Nazazu (model P1). Ko so med razvijanjem OG prejemali dodatne obveščevalne informacije, so prejeli tudi obvestilo, da so v Iranu pričeli z uporabo modela IR2. Testiranja so opravili tudi na tem modelu centrifuge in rezultat testiranj je bil identičen – centrifugino kovinsko okolje je razpadlo. Rezultate testiranj so predstavili takratnemu predsedniku, ki je napad odobril. Postopki napadov, ki imajo takšne obsege in vplive na delovanje države žrtve in medsebojne odnose, se določa glede na trostopenjski model odločanja:
- Kaj lahko naredimo? – kjer se izvede analitika trenutnih tehničnih zmožnosti, ki so na voljo za izvedbo napada.
- Kaj smemo narediti? – kjer se izvede analiza mednarodnega prava in okvirjev, ki določajo postopke napadov, vojskovanj in sorodnih področij.
- Kaj naj naredimo? – kjer se navedejo dejanske odločitve glede obravnavanega vprašanja.
Z vidika delovanja NSA TAO skupin je bila odločitev glede odobritve napada s STUXnet nova naloga, ki jo formalno odobri CIA – ta je dejansko odobrila vsak STUXne napad posamično.
Dodaten parameter programske kode, ki je STUXnet ločeval od standardnih paketov škodljive programske opreme. je bil tudi določen datum, do katerega bo izvajal agresivno delovanje in napadanje. Datum uporabe. To je dodatno govorilo o dejstvu, da gre verjetno za orodje, ki je produkt določene države in mora zaradi spoštovanja mednarodnih pravnih okvirjev vključevati tudi skrajni datum delovanja. Datum, ki ga je imel vsebovanega STUXnet, je predstavljal datum, ki je bil določen le za nekaj dni pred imenovanjem Baracka Obame kot novega predsednika Amerike. Ta datum dejansko dodatno govori v smer dejstva, da stoji za avtorstvom STUXnet-a Amerika – po imenovanju novega predsednika bi bilo seveda potrebno pridobiti dodatna dovoljenja in odobritve za nadaljevanje uporabe kibernetskega orožja.
Mogoče je pri vsem tem najbolj boleče dejstvo (za prebivalce tega planeta), da zloglasni STUXnet predstavlja le vrh ledene gore. V prvem delu Obamine administracije je bil namreč določen in koordiniran celovit načrt za kibernetski napad na Iran. Ta je vključeval VSE sestavine kritične infrastrukture – električno omrežje, vodovodno omrežje, kanalizacijsko omrežje, bančne sisteme, celotno vojaško infrastrukturo – komunikacijske sisteme, raketne sisteme, radarske sisteme. Amerika je imela vzpostavljen sistem, da bi lahko ob sprožitvi izvedla celovito ohromitev države in jo povsem izpostavila vsem nevarnostim – tako vojaškim kot civilnim.
STUXnet je pomemben, saj predstavlja prelomnico na področju kibernetskih groženj in njihove zlorabe. Je tudi prvo orodje, ki ne potrebuje dodanih navodil in se ne povezuje z operaterjem, da bi prejelo dodatna navodila za ukrepanje. Celoten napad je bil pripravljen in zapisan v okviru kode, s katero se distribuira. Pomembno dejstvo, ki ga sporoča STUXnet je tudi, da nobeni zaprti računalniški sistemi dejansko niso zaprti, saj se z njimi vedno dogaja določena analitika in izmenjava podatkov (lahko so to parametri delovanja, posodobitve programske kode, operativne nadgradnje, analitika delovanja in spremljanje obremenjenosti,…). Koncept delovanja kode STUXnet-a je bil nekako takšen: – širi se na vse sisteme, prepoznaj, če si na pravem, zvedi napad, ustavi se na določen datum, – kar je v celoti profil odobrenega vojaškega napada, ki ga lansiraš in ga ne boš preklical.
Algoritem delovanja napada
Del, ki je skrbel za izvedbo napada, je bil napisan na način, da je ob pozitivni prepoznavi ciljnega sistema glede na zaznano fazo čakal še dodatnih 13 dni, kar je bilo obdobje, da se sistemi v Nazazu kar najbolj napolnijo in da bi napad povzročil kar največjo možno škodo. Koda je torej nadzirala delovanje sistema in ga zapisovala, da je lahko najprej ugotovila, v kateri fazi delovanja je sistem – vseh 6 skupin s po 164 centrifugami. Scenarij napada, ki se je dogodil vedno na 13. dan od inicialnega polnjenja je temeljil na tem, da se frekvenca centrifuge ne ustavi na predvidenih 1000 obratih na sekundo (Hz), ampak, da se dvigne na 1400 Hz in pri tem doseže lastno frekvenco kovinskega ohišja. Ko se ohišje zaradi resonančnega nihanja v lastni frekvenci dejansko zdrobi, se frekvenca drastično zniža na 2 Hz, kar povzroči opletanje vpetih palic iz karbonskih vlaken in tako poškoduje še vpetje palice. PLC krmilnik med celotnim napadom sporoča kontrolni sobi predvidene normalne vrednosti in s tem ne sproži morebitnih avtomatiziranih sistemov za reagiranje v primeru preseganja parametrov delovanja. Med delovanjem STUXneta se seveda dvig frekvence sliši, operaterji, ki želijo izvesti izklop sistema pa so ugotovili, da pritisk na izklop glavnega stikala ne deluje – tudi to je bilo zapisano v STUXnet kodi.
Posledice napada
Posledice niso bile omejene le na delovanje. V fazi iskanja vzrokov za okvare na iranskem jedrskem reaktorju so bili vsi jedrski fiziki in tehniki zelo zmedeni – vse meritve, odčitavanja in izračuni so bili vedno pravilni, vse je bilo v pričakovanih, optimalnih vrednostih, centrifuge pa so se znova in znova kvarile. Posledično je prišlo tudi do odpuščanj ključnih oseb. Izgledalo je, da je bil celoten cilj dosežen – centrifuge so odpovedovale, strokovnjake in ekipe pa so razbijali, nekateri so tudi umrli v skrivnostnih okoliščinah.
Obama je od nadaljevanja uporabe kode razmišljal o tem, da bosta avtorstvo in uporaba kode razkrita in ko se bo to razvedelo, bosta Kitajska in Rusija to uporabila za morebitne povračilne udarce. Zato je bilo v 2010 tudi izvedeno temeljito spreminjanje izvorne kode. Dodatno je bilo potrebno vzpostaviti tudi bolj dodelan sistem distribucije kode v Nataz.
Sprememba kode pa je bila mogoče celo nekoliko preveč drastična. Da bi rešili problem distribucije je bilo vključeno izvajanje sledenja, s čemer so želeli spremeniti in izboljšati postopke distribucije, sočasno pa se je v kodo dejansko shranjevala »revizijska sled«, ki je kasneje pri analitiki omogočala odkritje prvih 5 družb, ki so bile okužene z STUXnet-om – iranska podjetja, ki so izvajala vzdrževanja na jedrskih objektih in so zanje napadalci zagotovo tudi vedeli. Napadalci so torej zagotovo želeli, da se STUXnet prenese do cilja in to kar najprej, verjetno z vdorom v njihov informacijski sistem in izvedbo okužbe.
No, če se vrnemo na pripravo STUXnet-a, je pri razvoju programske kode sodelovala tudi Mosadova enota 8200 – oddelek za kibernetsko vojskovanje. Ta je bila tudi zadolžena za izvedbo distribucije in lansiranja. Takratni in trenutni premier Benjamin Netanjahu je Mosad zelo intenzivno spodbujal k doseganju rezultatov. Tako je po informacijah iz NSA, Mosad izvedel spremembo programske kode in izvedel lansiranje STUXnet-ove različice brez predhodnega pregleda in sodelovanja z NSA. Leta 2010 naj bi torej Mosad samostojno distribuiral spremenjeno kodo (skoraj sočasno, ko so začeli v skrivnostnih okoliščinah izginjati iranski jedrski fiziki). Sprememba kode je izvaja tudi napade na računalnike, ne samo na krmilnike, kar se je pri celotnem algoritmu napada opazilo v javnosti – napake pri delovanju računalnikov so veliko bolj pogosto registrirane in analizirane, kot pa na PLC krmilnike, ki do takrat pravzaprav še niso bili žrtve kibernetskih napadov. STUXnet se je razširil, prvo civilno prepoznavo so zabeležili v Belorusiji, zaznala pa ga je tudi ruska zvezna varnostna agencija FSB (Federalnaya Sluzhba Bezopasnosti), ki je ena od naslednic ruskega KGB-ja. Seveda imajo v FSB dovolj velike strokovnjake, da so lahko razvozlali programsko kodo in s tem je pravzaprav orožje prišlo v roke sovražnika.
STUXnet je bil napad, ki je bil izveden v mirnem času na kritično infrastrukturo države. Ob koncu napada je bilo ugotovljeno, da je izvor kode Amerika, da je postala koda dostopna in razpoložljiva tudi nasprotnemu taboru, še bolj kritično dejstvo za Američane pa je bilo, da iranski jedrski program sploh ni bil ohromljen ali onemogočen. Glede na vmesne preglede in poročila IAEA je razvidno da je bilo sicer izvedenih več menjav centrifug (nekaj tisoč), da pa je njihova uporabnost od leta 2012 prav zacvetela. Kljub vsem gospodarskim, političnim, kibernetskim sankcijam in odstranjevanju lastnega strokovnega kadra je iranski jedrski program zelo zrasel in napredoval, danes je posledično močnejši in naprednejši kot kadarkoli. Lahko bi rekli, da je po STUXnet-u meč pravičnosti pričel rezati na obe strani. Tudi ZDA je utrpela veliko finančno škodo zaradi pojavitve STUXnet virusa, ki se je pojavil tudi na njihovih računalniških sistemih in je moral oddelek za domovinsko varnosti odkriti in vzpostaviti ustrezno zaščito pred STUXnet-om. Ja. Olimpic Games so bile popolnoma skriven projekt in se o njem ni smelo govoriti. Tako so Američani na eni strani razvijali bolezen, na drugi pa zdravilo, brez da se bi o strategiji lahko med seboj pogovarjali ali pa celo, da bi NSA povedala oddelku za domovinsko varnost, da naj se s tem ne ukvarja, ker ni zanimivo in ker tarča napada ni Amerika in njena infrastruktura. Oddelek za domovinsko varnost je bil o identifikaciji nove škodljive programske opreme obveščen v 2010 in pričel je s prvimi analizami in aktivnostmi. Že prvi pregledi kode so analitike streznili, saj so ugotovili, da gre za kompleksno kodo, ki ima cilje usmerjene proti virom, ki lahko ohromijo delovanje države. Potencial, ki ga takšen napad lahko prinaša, nima vpliva zgolj in samo na delovanje infrastrukture, neposredno so ogrožena tudi civilna človeška življenja.
Ameriška administracija do danes ni uradno priznala svoje vloge v STUXnetu oziroma ni priznala niti kakršnekoli vključenosti v kibernetske napade na cilje kjerkoli na svetu. Na tem mestu se zgodba poštene Amerike prekriža z Ericom Snowdenom, ki je poskrbel za obelodanjene dokumentov, ki razkrivajo, da je Obama leta 2012 izdal ukaz, v katerem določa pogoje glede lansiranja kibernetskega napada, vedno pa mora njihovo odobritev izvesti predsednik osebno. Enak režim velja v svetu fizičnega vojskovanja le za uporabo jedrskega orožja.
Ne glede na dejstvo, da tako Amerika kot Izrael ne želita potrditi skupnega sodelovanja na projektu STUXnet je jasno, da se je pojavila nova oblika vojskovanja, ki napada nove cilje na nove načine. Glede na to, da je bila uporaba takšnega orožja že izvedena, lahko to postane nov standard vojskovanja prihodnosti – kaj prihodnosti, kar sedanjosti. Področje takšnega vojskovanja je povsem neformalizirano in neopredeljeno – za klasično vojskovanje so določena jasna pravila, ki se nanašajo na spoštovanja pravic, postopke in načine ter pravice v vojnem obdobju (na primer obravnava vojaških ujetnikov), medtem ko kibernetsko vojskovanje še niti ni formalno uveljavljeno, kaj šele regulirano. Določeno ni niti, kdaj in kako se lahko kibernetske napade izvaja.
Ker skrb za zaupnost podatkov, izmenjave podatkov in pravzaprav vse vrste manipulacij s podatki zgodovinsko izvirajo iz vohunskih okolij, ne pa iz vojaških, je verjetno pričakovati, da bo področje kibernetskega vojskovanja še nekaj časa zavito pred očmi javnosti. Tukaj tudi ni možno vzpostaviti agencije, ki bi skrbela za nadzor nad opravljanjem aktivnosti, kot je to možno pri jedrskem ali kemičnem orožju.
Danes na področju izvajanja aktivnosti kibernetskega vojskovanja velja zgolj meja, da se izvaja aktivnosti le to tiste meje tveganja, ko je še vedno možno ohranjati identiteto napadalca. Posledično je določanje zakonov, standardov, pravilnikov, konvencij na tem področju zelo onemogočeno pa tudi nesmiselno.
Danes imamo dnevne interakcije s kritično infrastrukturo – že ob kuhanju jutranje kave uporabljamo kanalizacijske in vodovodne sisteme, čistilne naprave, nato ob poti v službo semaforizirana križišča ali javno prometno infrastrukturo. Vsi ti sistemi so bili vzpostavljeni še v času, ko kibernetska varnost ni imela posebne vloge in je bila opuščena ob projektih. Sistemi tako nimajo niti osnovnih mehanizmov varovanja, posodobitev, popravkov in ostalih temeljnih aktivnosti za zagotavljanje tehnične varnosti. Pravzaprav si težko predstavljamo, da bi prišlo do celovitega izpada električnega omrežja – verjetno niti ne vemo, kako bi bilo potrebno zagnati postopke obnove in kakšno bi bilo vzpostavljanje in priključevanje porabnikov nazaj v omrežje. Vpliv na družbo in na gospodarstvo bi bilo skoraj nepredstavljiv in nemerljiv, zagotovo pa katastrofalen.
Povratni ukrepi
Ko so Iranci sprevideli, kaj se je dogodilo in kdo stoji za napadi, so sprožili obširno akcijo novačenja vojakov in računalniških specialistov – hiteli so z ustanovitvijo lastne kibernetske vojaške enote. Seveda jim je to tudi uspelo in Iran ima danes eno najmočnejših kibernetskih vojsk na svetu. Pravzaprav je danes jasno, da aktivnosti Amerike in Izraela skupaj niso povsem spodletele – položaj se jim je še poslabšal. Iran ima danes zelo dobro ekipo vrhunskih strokovnjakov z zelo razvitimi možnostmi za pripravo in izdelavo lastnih centrifug, poleg tega pa je pripravil in določil še izjemno veliko, usposobljeno in učinkovito enoto za kibernetske vojaške operacije. Iran je tudi pokazal, da je vešč bitk na novem kibernetskem poligonu.
Prvi povratni udarec je bil že v 2012 napad na Saudi Aramco – naftno korporacijo, ki je bila žrtev izjemno intenzivnega in vplivnega kibernetskega napada. V sklopu napada je bila iz preko 30.000 računalniških naprav odstranjena vsa koda in vsi podatki. V določenih primerih tudi izbrisi podatkov matičnih plošč, kar je pomenilo, da je bilo potrebno dejansko kupiti novo računalniško opremo.
Drugi povratni udarec je bil napad na ameriške banke (Bank of America, PNC Bank, Wells Fargo). Zanimivo je bilo, da NSA tudi po tem, ko je odkrila izvod napada, ni ukrepala, češ da gre za zasebni sektor in da to ni predmet nacionalne zaščite.
Sporočilo Irana je bilo na tem mestu zelo jasno in glasno – pustite nas pri miru, tudi na tem področju znamo postoriti kaj uničujočega.
Operacija Nytro Zeus (NZ) je bila operacija, ki je določila celoten sistem kibernetskega napada s strani Amerike na Iran. Poleg ostalih aktivnosti je bil zmožen izvesti onemogočanje celotne komunikacije (tudi vojaške), onemogočiti radarske in protiletalske sisteme, uničiti krmiljeno civilno infrastrukturo (električno omrežje, transportno omrežje, civilne komunikacije, finančno-bančne sisteme). NSA in USCC agenti so imeli pripravljen načrt, izdelano orodje in so čakali v pripravljenosti, da prejmejo ukaz agencije CIA, da lansirajo napad. V primerjavi s tem napadom bi bil STUXnet »mala malica«. NZ je bil scenarij kibernetske vojne, ki ni dopuščala možnosti povratnega udarca žrtve.
14.julija 2015 je bil podpisan sporazum z Iranom, kjer se ta zavezuje, da ne bo pridobival jedrskega orožja. Sporazum je bil podpisan v švicarskem Luzernu, podpisniki pa so bili Iran, Amerika, Velika Britanija, Francija, Nemčija, Rusija in Kitajska. Iran se je zavezal, da bo za več kot 2/3 zmanjšal svoje postopke za plemenitenje urana v naslednjih 10 letih od podpisa. S tem bi postal celoten planet bolj varen. Amerika ima na drugi strani še vedno pripravljen in dopolnjen operativni scenarij za operacijo Nytro Zeus.
1.januarja 2020 je bila izvedena odstranitev Kasema Sulejmanija. Atentat je bil koordiniran s strani Amerike. Glede na nekoliko globlje ozadje delovanja vojaških kibernetskih oddelkov, ki jih upravljajo vojaške enote pod vodstvom predstavnikov držav, se je težko počutiti povsem varno in sproščeno. Težko je povedati, kako varni so naši informacijski sistemi, ali pa kako varni so naši povezljivi aparati. Sploh za področje povezljivih aparatov (IoT) strokovnjaki s področja kibernetske varnosti opozarjajo, da jih vidijo kot veliko varnostno grožnjo prihodnosti.
