Atom- helyett logikai bomba


1982-ben történt a világ eddigi  legnagyobb nem nukleáris eredetű robbanása, mely akkora volt, hogy állítólag a világűrből is látható volt. Ezt a detonációt nem az akkor gőzerővel fegyverkező nagyhatalmak valamelyik atomtöltete okozta, hanem egy szibériai gázvezeték meghibásodása. Ám e katasztrófa mögött nem egyszerű gondatlanság állt, hanem az amerikai CIA előre tervezett akciója, akik ravasz módon húzták csőbe a szovjet hírszerzést: mivel tudták, hogy a szovjetek milyen szoftvereket kívánnak ellopni tőlük, ezért az egyik (kvázi lopásra felkínált), egy kanadai cégtől megszerezhető, közműveket vezérlő programba egy úgynevezett logikai bombát helyeztek el, mely egy adott időpontban túlterhelte a rendszert, és ennek volt köszönhető a katasztrófa.

A történet néhány éve ismert már a világ közvéleménye előtt, mivel Thomas Reed, a légierő akkori vezető tisztviselője könyvében megírta mindezt. Ami miatt a The Economist legutóbbi számában felelevenítette ezt a sztorit, az az, hogy az amerikai politikai és technológiai sajtó egyik vezető témája az elmúlt hónapokban a kiberháborús hadviselés. E trendnek több oka van. Egyrészt az elmúlt években fokozatosan erősödik azon amerikai csoportok hangja, akik arra figyelmeztetnek, hogy a nagyhatalmi hadviselés elérkezett az „ötödik szintre”, így a legforróbb terep ma már a kibertér (ebben a költői elemeket nem nélkülöző elképzelésben a háborús terepek egyre bővebbek lettek: először a szárazföldi csatázás volt a meghatározó, majd jött a tengereken folytatott háború, melyet követett a légi harcok meghatározó szerepe, s ezt emelte magasabb szintre  az űrhadviselés, a 21. századra pedig alapvetően a „cyber war” jellemző). A kiberháborúktól való félelem gerjesztésében és fenntartásában érdekeltek egyaránt hivatkoznak valódi és feltupírozott adatokra. Az bizonyos, hogy az elmúlt évtizedben, különösen négy-öt éve mind több olyan jelenség tapasztalható, melyek rendszerszintű internetes támadásokra utalnak (Észtország, Grúzia stb.). Ugyanakkor az is igaz, hogy ezeket az eseményeket az érdekelt csoportok saját hasznukra igyekeznek fordítani, a valóban létező fenyegetettséget felnagyítják, hogy a „kibervédelmi rendszerek” megvalósítására hatalmas állami támogatásokat kapjanak. A történet mindenképp kétarcú: nehéz lenne tagadni, hogy a számítógépes vezérlés és üzemeltetés általánossá válása miatt sebezhetővé válnak az egyes országok közművei (főként azért, mert pl. amerikai hackerek sorozatban bizonyították, hogy az egyébként komolyan vett IT-biztonság e rendszereknél alacsonyabb fokú, mint más területeken), ám ennek mértéke kérdéses.

Barack Obama e téren is javulást ígért, és ennek érdekében kormányzása kezdete óta intézkedések sora tapasztalható. Korábbi kezdeményezéseket folytatva létrehozta a hadsereg „kiberháborús parancsnokságát” (Cyber Command), kinevezett egy (ottani terminológiával élve) „kibercárt”, egy egyszemélyi felelőst a digitális hadviselésért, aki igen aktív tevékenységet mutat a közelmúltban. Ezekben az eseményekben azonban újra felbukkan Janus – a kiberháborúban (akárcsak a kommunizmus ellen viselt hidegháborúban) egyszerre két front nyílt: egyrészt a konkurens nagyhatalmak ellen küzdenek, másrészt a „belső ellenség” ellen, melyet most bűnözésnek, terrorizmusnak hívnak. Azt senki nem tagadja, hogy mindkét veszély valós, ám a nagyságrendje vitatott. Mindenesetre árulkodó, vagy legalábbis gyanakvásra ad okot, hogy az amerikai kormányzati kommunikáció néhány éve sorozatosan, szinte tervszerűen ad hírt (Kínából, Észak-Koreából, az arab terroristáktól) érkező kibertámadásokról, melyek egy része bizonyított, ám bőven akad olyan is, melyek csak nehezen kontrollálható állításokra alapoznak, s láthatólag céljuk az, hogy erősítsék a kiberhadviselésben érdekelt körök súlyát a költségvetési alkukban.

Ködképek és realitások

De azért a kiberháború, mint a föntebb említett korai példa is mutatja, egyáltalán nem légből kapott (erről bőséges mondanivalójuk lehet az észteknek, akik a saját bőrükön tapasztalták meg). 1982-ben még konspirálni kellett ahhoz, hogy egy manipulált szoftver eljusson az oroszokhoz, ám a mai behálózott világban jelentősen mások a viszonyok. Szinte felmérhetetlenek a lehetőségek, vagyis a kockázatok: gondoljunk csak arra, hogy a pénzpiac mozgásai gyakorlatilag száz százalékban a kibertérben zajlanak, tehát egy komoly támadás súlyos zavarokat okozhat mondjuk a tőzsdén.

Barack Obama ezt felmérve döntött amellett májusban, hogy a kiberveszélyek elleni védekezés irányítására egy szakembert kér fel, Howard Schmidtet, aki a világban a szakma egyik legjobbjának számít, s aki hírnevét a Microsoft biztonsági főnökeként alapozta meg. Schmidt első számú feladata az Egyesült Államok infrastruktúrájának védelme, s ebben a munkában szorosan együttműködik Keith Alexander tábornokkal, a hírhedt Nemzetbiztonsági Hivatal (NSA) vezetőjével, aki a frissen felállított kiberparancsnokság (Cybercom) első számú embere is, és aki szigorúan titkosított munkaköri leírása szerint a katonai hálózatok biztonságáért is felel.

A kiberháborús hadviselés más országokban is aktuális téma, elég ha arra utalunk, hogy a NATO is felállított egy ilyen szervezetet, melynek központját – nem véletlenül – épp Észtországban állították fel. Terepei különbözőek. Az államokat irányító politikusok (és a valóban hozzértők is) elsősorban a digitalizált vezérlésű közművek elleni támadásoktól tartanak leginkább (hogy joggal, azt a szovjet gázrobbanás is bizonyítja): villamos energia, víz-, gáz-, olajvezetékek stb. De súlyos gondokat okozhat az is, ahogy már említettük, hogy a kereskedelem, a pénzügy, a banki rendszerek is erősen függenek ma már a digitális hálózatoktól. De bőven említhetőek még példák: közlekedési, navigációs rendszerek, melyek hackelése komoly gondokat okozhat (a Die Hard 4.0 ugye ezekkel a lehetőségekkel játszik el). S akkor még nem is említettük a rafináltabb módozatokat, amikor összehangolt akciók keretében mondjuk személyes adatokat vagy éppen ipari titkokat igyekeznek megszerezni.

De azt is érdemes mindehhez hozzátenni, hogy a világ egyik legtekintélyesebb biztonsági szakértője, Bruce Schneier évek óta igyekszik sulykolni, hogy bár van alapja a félelmeknek, a valós kockázatok jelentősen kisebbek, mint ahogy azt a politikusok és a biztonsági iparban érdekelt szereplők állítják: szerinte a tudományos elemzésnek látszó ijesztgetések csak azt szolgálják, hogy ezek a cégek és csoportok újabb és újabb pénzekhez jussanak az állami forrásokból, ezért igyekeznek nagyságrendekkel nagyobbnak beállítani a lehetséges veszélyeket.

A veszélyek mindazonáltal valósak, s még csak kiberháború sem kell hozzá. Érdemes azt a közhelyet felidézni, hogy minél kifinomultabb egy technológia, annál sérülékenyebb: elegendő megemlíteni azt, hogy az internet működésében óriási szerepük van a tenger alatti kábeleknek, melyek a leggondosabb tervezés mellett is sérülékenyek – bizonyítja ezt az is, hogy sorozatosak az ilyen üzemkiesések, s ezek között volt olyan, amelynek következtében az ázsiai, iparilag fejlett országokban nagyon komoly gazdasági bajok adódtak, ugyanis akár néhány órás kiesés vagy lassulás is hatással van az elektronizált kereskedelemre.

Az internetes biztonsági szakmában gyakorlatilag teljes az egyetértés az ügyben, hogy nagyon nagy baj van amiatt, hogy magát az internetet évtizedekkel ezelőtt nem a mai felhasználási körülményekre tervezték. Akkor egy erősen bizalmi elvre épülő rendszerben gondolkodtak, a biztonság szinte egyáltalán nem volt lényeges, nem jutott eszükbe (nem is juthatott), hogy egyszer ebből egy világrendszer lesz, mely a mai módon működik; spamek, malware-ek, vírusok, adathalászat, botnetek stb. még nem léteztek. Az internet alapszerkezetében gyakorlatilag egyáltalán nincsenek olyan védelmek, melyek képesek lennének hatékonyan kizárni a bűnözést vagy a „kiberháborút”, ezért a mai törekvések inkább toldások-foldások, egy lyuk eltüntetése után a hozzáértők kettőt találnak. (Azt persze érdemes hozzátenni, hogy politikai okokból az állami szervezetek is kihasználják ezt az állapotot saját érdekeik érvényesítésére.) Az amerikai becslés szerint – még ha túlzó is, de nem jár messze a valóságtól – az internetes bűnözés okozta kár már messze meghaladja a klasszikus maffiák által okozottat: egy év alatt egybillió dollárról beszélt Obama.

A The Economist cikke ezek után végigveszi mindazokat a lehetőségeket, melyek ma a bűnözők, kémek, a másikat támadó államok rendelkezésére állnak, s joggal állapítják meg az FBI egyik vezetőjének kijelentésére alapozva, hogy a mai viszonyok között minden információ megszerezhető, ha van rá szakember, pénz és idő (lásd: „minden autót el lehet lopni, minden lakásba be lehet törni”). Egy tábornok beszámol arról, hogy 2008-ban megesett olyan, hogy az Irakban és Afganisztánban jelen lévő amerikai hadseregnél tapasztaltak olyan illegális behatolást, amely egy rövid ideig a katonai vezérlőrendszerekben okozott gondokat.

Biztosat senki sem tud, vagy inkább a tényleges információk nem jutnak nyilvánosságra nemzetbiztonsági okokból. Ugyanakkor még a The Economist tárgyilagos és visszafogott cikke is beilleszkedik abba a kampányba, mely a kiberbiztonság erősítését célozza – s nem elhanyagolható, hogy akkor jelent meg, amikor az amerikai kormányzat a „Perfect Citizen” program keretében újabb lépést igyekszik megtenni a digitális ellenőrzés terén a civil szférában is.

Azóta történt

Előzmények